Alat kotak surat: Ancaman terhadap privasi dan keamanan data konsumen.

Diterbitkan: 2021-08-18

Topik privasi dan keamanan data konsumen yang semakin kontroversial menjadi sorotan baru-baru ini dalam artikel New York Times yang kritis terhadap praktik bisnis yang digunakan oleh Slice, pemilik aplikasi manajemen langganan email Unroll.me, dan Uber. Artikel itu mengungkapkan Slice menjual data konsumen dari Unroll.me ke perusahaan berbagi tumpangan yang populer.

“Tim Uber mengabdikan diri untuk apa yang disebut intelijen kompetitif, membeli data dari layanan analitik yang disebut Slice Intelligence. Menggunakan layanan intisari email yang dimilikinya bernama Unroll.me, Slice mengumpulkan tanda terima Lyft yang dikirim melalui email dari kotak masuk mereka dan menjual data yang dianonimkan ke Uber.”

Sementara CEO Unroll.me Jojo Hedaya menawarkan permintaan maaf, itu gagal memuaskan beberapa pelanggan, dan bagian komentar di berbagai situs web memanas karena beberapa pelanggan meminta data mereka dihancurkan.

Tapi ada masalah.

Unroll.me dan alat lain seperti mereka dapat berhak untuk menyimpan data email Anda tanpa batas waktu, dan memiliki jenis data inilah yang membuat perusahaan seperti Unroll.me (Slice) sangat berharga.

Misalnya, dalam menanggapi cerita Unroll.me di Y Combinator, seorang kontributor mengklaim, “Sebagian besar pembelian Slice Unroll.me adalah untuk akses ke arsip email tersebut. Secara khusus, mereka ingin mencari tren kata kunci dan tanda terima dari pembelian online.”

Dan apa yang kebanyakan konsumen tidak sadari adalah pengumpulan dan penjualan data jenis ini juga terjadi dengan perusahaan alat kotak surat lainnya (misalnya, Boxbe dari eDataSource, dan OtherInbox dan Organizer dari Return Path). Kami sebelumnya membahas beberapa alat ini di blog kami Kebenaran Tentang Data Panel Email .

Mengapa konsumen secara sukarela menyerahkan data email mereka?

Apakah Anda membaca Syarat dan Kebijakan Privasi dari setiap layanan online yang Anda gunakan?

Menurut penelitian terbaru The Biggest Lie on the Internet: Mengabaikan Kebijakan Privasi dan Ketentuan Layanan Kebijakan Layanan Jejaring Sosial , peneliti menemukan 86% subjek tes menghabiskan kurang dari satu menit membaca persyaratan layanan, dan 97% yang mengejutkan menghabiskan lebih sedikit dari lima menit. Selain itu, kurang dari 2% memperhatikan bahwa dengan menyetujui persyaratan layanan, mereka sebenarnya “menyediakan anak sulung” sebagai pembayaran untuk akses ke aplikasi pengujian.

Seperti kebanyakan konsumen, kami menganggap alat kotak surat gratis jarang dibaca oleh pengguna kebijakan yang mereka setujui. Tapi pepatah lama tetap benar: Jika Anda tidak membayar untuk menggunakan produk—newsflash—Anda (dan data Anda) adalah produknya.

Jalur Kembali eDataSource Privasi Data Konsumen dan Ancaman Keamanan

Pengguna alat kotak surat gratis: Anda (dan data Anda) adalah produknya.

Veteran industri email Laura Atkins baru-baru ini menggunakan alat kotak surat dan industri data panel email untuk menangani risiko keamanan bagi pengguna. Dan sebagai tanggapan atas kekhawatiran Atkin, Chief Privacy Officer Return Path, Dennis Dayman, memberikan komentar ini:

“Alur pendaftaran kami memperjelas bahwa kami menggunakan data pengguna untuk tujuan riset pasar, tetapi secara anonim dan agregat. Kami membuat pernyataan itu dalam bahasa Inggris yang ringkas dan sederhana tepat pada saat pendaftaran – tidak terkubur dalam Persyaratan Layanan klik-tayang yang tidak akan pernah dilihat oleh pengguna.

Tapi beginilah cara halaman pendaftaran Penyelenggara yang dimiliki Jalur Kembali berbunyi:

“Dalam menawarkan layanan ini, kami mengumpulkan dan membagikan informasi tertentu tentang pesan email non-pribadi (misalnya, email komersial). Data ini membantu kami mendapatkan wawasan tentang perilaku konsumen, dan juga membantu kami meningkatkan ekosistem email dengan lebih memahami bagaimana orang berinteraksi dengan pesan email non-pribadi yang mereka terima.”

Meskipun kami setuju dengan Return Path's Dayman bahwa pengguna harus diberikan penjelasan "bahasa Inggris yang jelas" tentang apa yang akan dilakukan alat mereka dengan data pelanggan tanpa perlu membaca kebijakan privasi yang panjang, kami merasa salinan situs web Penyelenggara gagal memenuhi kebutuhan itu.

Jadi, kami melakukan hal yang mungkin tidak pernah dilakukan oleh sebagian besar pengguna alat kotak surat: Baca Kebijakan Privasi Data Jalur Pengembalian kira-kira 4.653 kata .

Catatan: Kami bukan pengacara, jadi silakan berkonsultasi dengan salah satu jika Anda ingin pendapat hukum mengenai informasi yang dibahas di blog ini.

Terkubur dalam kebijakan privasi, kami menemukan alat ini mengumpulkan "pesan komersial, transaksional, dan hubungan" (Informasi Penggunaan Layanan)—tidak, bukan hanya surat komersial. Dan apakah "pesan hubungan" email pribadi? Menurut situs web, alat ini berfokus pada email non-pribadi. Sayangnya, setelah membaca berulang kali bagian ini dalam kebijakan, kami gagal menemukan penjelasan yang jelas tentang istilah tersebut.

Tercantum di bagian lain dalam kebijakan adalah bagian mengenai informasi pengenal non-pribadi yang dikumpulkan dan dijual kepada pihak ketiga (Informasi Penggunaan Layanan), bahwa email dapat disimpan tanpa batas waktu (Retensi Informasi Pribadi), bahwa aplikasi dapat melacak lokasi pengguna saat menggunakan ponsel perangkat (Informasi Agregat), dan bahwa data Anda dapat dijual ke perusahaan lain (Perubahan Kontrol/Transfer Aset) kapan saja. Apa yang terjadi pada data Anda jika perusahaan lain mengakuisisi Return Path? Tidak jelas bagi kami.

Apakah Anda melihat informasi yang dikomunikasikan dalam "bahasa Inggris biasa" di sini:

Aplikasi Email Penyelenggara Jalur Kembali

Sumber: Penyelenggara Jalur Kembali

Kami juga tidak.

Menjual kuitansi Lyft hanyalah puncak gunung es

Penjualan data Unroll.me ke Uber telah membuat banyak orang kesal, tetapi bahkan tidak menggores permukaan pada kumpulan data yang lebih luas yang dijual di tempat lain.

Misalnya, Return Path menawarkan beberapa alat kotak surat gratis kepada konsumen dan "mengumpulkan data tanda terima konsumen terperinci dari beragam sumber" untuk menunjukkan "data tanda terima tingkat item dapat menunjukkan kepada Anda apa yang sebenarnya dilakukan konsumen," dilaporkan mengumpulkan data pembayaran, bank, pengecer, e-commerce, dll.:

Jalur Kembali Wawasan Konsumen Masalah Privasi dan Keamanan

Sumber: Wawasan Konsumen Jalur Kembali

Di situs web Return Path, tepat di atas gambar ini, dan pada saat blog ini dibuat, terbaca “Return Path menawarkan data konsumen yang belum pernah Anda lihat sebelumnya.” Jika grafik di atas adalah representasi akurat dari data yang dikumpulkan dan dijual oleh Jalur Pengembalian, koleksi "Wawasan Konsumen" mereka melampaui penerimaan Lyft. Kutipan asuransi, pernyataan online, riwayat pembelian, kebiasaan menonton Netflix, berpindah penyedia telepon… Apakah ini jenis informasi yang ingin dibagikan konsumen ketika mereka mendaftar untuk alat kotak surat gratis?

Ironisnya, tampaknya alat kotak surat yang mengklaim dapat meningkatkan produktivitas pengguna dan membantu Anda menghindari spam sebenarnya memiliki data yang dibeli dan dianalisis untuk menginformasikan lebih banyak, spam yang lebih baik (atau lebih banyak spam yang lebih baik) berdasarkan informasi yang dikumpulkan dari akun email pengguna.

Ingat, jika Anda menggunakan alat kotak surat gratis, Anda (dan data Anda) adalah produknya.

Alat kotak surat pihak ketiga dapat menimbulkan risiko keamanan yang besar

Pos Y Combinator juga menuduh masalah keamanan sebelumnya di Unroll.me:

“Saya bekerja untuk sebuah perusahaan yang hampir mengakuisisi Unroll.me. Pada saat itu, lebih dari tiga tahun yang lalu, mereka telah menyimpan salinan dari setiap email Anda yang Anda kirim atau terima saat menjadi bagian dari layanan mereka. Email-email itu disimpan dalam serangkaian ember S3 yang tidak diamankan dengan baik.”

Bucket S3 yang tidak diamankan dengan baik? Menyimpan salinan setiap email? Terlepas dari apakah itu dikirim atau diterima? Jika ini benar, itu bisa berarti bahwa penyimpanan S3 Unroll.me penuh dengan tanda terima pembelian, pengaturan ulang kata sandi, dan siapa yang tahu jenis pesan pribadi apa. Bahkan pesan terkirim yang sama sekali tidak terkait dengan penggunaan alat dapat disimpan.

Dan bagaimana dengan kredensial login? Meskipun beberapa penyedia (Gmail, Yahoo, Outlook) menyediakan otentikasi OAuth, AOL dan Apple (icloud.com) tidak, dan aplikasi kotak surat ini meminta kredensial masuk Anda, termasuk kata sandi Anda, untuk menggunakan layanan ini. Sementara semua perusahaan mengklaim bahwa mereka mengikuti praktik terbaik standar untuk keamanan, pelanggaran data telah menjadi kejadian umum di banyak perusahaan perangkat lunak.

Beberapa sumber menunjukkan beberapa alat ini meminta akses baca dan tulis penuh ke akun Anda. Ini berarti bahwa aplikasi, atau siapa pun yang berpotensi melanggarnya, mungkin memiliki kebebasan untuk mengelola kotak masuk Anda sesuai keinginan mereka.

Cara menghentikan alat kotak surat dari mengumpulkan data email Anda

Jika Anda adalah pengguna Unroll.me, Boxbe, Organizer, atau alat kotak surat lainnya dan Anda ingin mencabut kemampuan mereka untuk mengumpulkan, menyimpan, dan menjual data Anda, berikut adalah petunjuk tentang cara mematikan akses mereka:

  • Gmail: Kunjungi halaman keamanan dan buka "Aplikasi & situs yang terhubung" di bawah "Masuk & keamanan" di menu sebelah kiri. Klik layanan yang ingin Anda hapus dan itu akan menampilkan tombol biru "Hapus". Jawab "Ya" ketika ditanya, "Apakah Anda yakin ingin menghapus akses?"
  • Outlook: Menggunakan add-in di Outlook.com atau Outlook di web
  • Yahoo!: Hapus izin untuk aplikasi pihak ketiga

Untuk pengguna yang membagikan kredensial login email mereka dengan alat kotak surat, Anda harus segera mengubah kata sandi untuk akun email Anda.

Kami juga mendorong pengguna untuk menghubungi pemilik alat dan meminta klarifikasi tentang apakah dan bagaimana informasi pribadi Anda (misalnya, pesan transaksional, pesan pribadi, kredensial masuk) disimpan, bersama dengan tautan ke bagian kebijakan privasi mereka yang memungkinkan mereka untuk melakukannya.