Narzędzia skrzynki pocztowej: zagrożenie dla prywatności i bezpieczeństwa danych konsumentów.

Opublikowany: 2021-08-18

Coraz bardziej kontrowersyjny temat prywatności i bezpieczeństwa danych konsumentów znalazł się ostatnio w centrum uwagi w artykule w New York Times krytycznym wobec praktyk biznesowych stosowanych przez Slice, właściciela aplikacji do zarządzania subskrypcjami e-maili Unroll.me, i Ubera. Artykuł ujawnił, że Slice sprzedał dane konsumenckie z Unroll.me popularnej firmie oferującej przejazdy.

„Uber poświęcił zespoły na tzw. inteligencję konkurencyjną, kupując dane z usługi analitycznej o nazwie Slice Intelligence. Korzystając z usługi podsumowania wiadomości e-mail, której jest właścicielem, o nazwie Unroll.me, Slice zebrał wysłane e-mailem rachunki Lyft swoich klientów z ich skrzynek odbiorczych i sprzedał zanonimizowane dane firmie Uber”.

Chociaż dyrektor generalny Unroll.me, Jojo Hedaya, przeprosił niektórych klientów, nie zadowoliło to niektórych klientów, a sekcje komentarzy na różnych stronach internetowych rozgrzały się, gdy niektórzy klienci zażądali zniszczenia swoich danych.

Ale jest problem.

Unroll.me i inne podobne narzędzia mogą zastrzegać sobie prawo do przechowywania danych e-mail na czas nieokreślony, a posiadanie tego typu danych sprawia, że ​​firmy takie jak Unroll.me (Slice) są tak cenne.

Na przykład, w odpowiedzi na historię Unroll.me na Y Combinator, jeden z autorów stwierdził: „Duża część zakupu Slice Unroll.me dotyczyła dostępu do tych archiwów e-mail. W szczególności chcieli poszukać trendów dotyczących słów kluczowych i wpływów z zakupów online”.

Większość konsumentów nie zdaje sobie sprawy, że tego typu zbieranie i sprzedaż danych ma miejsce również w przypadku innych firm zajmujących się narzędziami do obsługi skrzynek pocztowych (np. Boxbe z eDataSource oraz OtherInbox and Organizer z Return Path). Niektóre z tych narzędzi omawialiśmy wcześniej w naszym blogu The Truth About Email Panel Data .

Dlaczego konsumenci dobrowolnie przekazują swoje dane e-mail?

Czy zapoznałeś się z Warunkami i Polityką prywatności każdej usługi online, z której korzystasz?

Według niedawnego badania The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services , naukowcy stwierdzili, że 86% badanych spędziło mniej niż jedną minutę na czytaniu warunków korzystania z usługi, a oszałamiające 97% poświęciło mniej niż pięć minut. Dodatkowo niecałe 2% zauważyło, że wyrażając zgodę na warunki świadczenia usług, faktycznie „dostarczało pierworodne dziecko” jako zapłatę za dostęp do testowej aplikacji.

Podobnie jak większość konsumentów, zakładamy, że użytkownicy bezpłatnych narzędzi do skrzynek pocztowych rzadko czytają zasady, na które się zgadzają. Ale stare powiedzenie pozostaje prawdziwe: jeśli nie płacisz za korzystanie z produktu — newsflash — to Ty (i Twoje dane) jesteście produktem.

Return Path eDataSource Zagrożenie prywatności i bezpieczeństwa danych konsumentów

Użytkownicy bezpłatnych narzędzi do skrzynek pocztowych: Ty (i Twoje dane) jesteście produktem.

Weteran branży e-mail, Laura Atkins, niedawno zabrała się za narzędzia skrzynek pocztowych i branżę danych paneli poczty e-mail w zakresie zagrożeń bezpieczeństwa dla użytkowników. W odpowiedzi na obawy Atkina, dyrektor ds. prywatności w Return Path, Dennis Dayman, zaoferował następujący komentarz:

„Nasz proces rejestracji jasno pokazuje, że wykorzystujemy dane użytkowników do celów badania rynku, ale w sposób anonimowy i zbiorczy. Oświadczenie to składamy w zwięzły, prostym języku angielskim w momencie rejestracji – a nie w klikalnych Warunkach korzystania z usługi, których żaden użytkownik nigdy nie zobaczy.

Ale tak wygląda strona rejestracji Organizatora będącego własnością Return Path:

„Oferując tę ​​usługę, zbieramy i udostępniamy pewne informacje dotyczące nieosobowych wiadomości e-mail (np. komercyjnych wiadomości e-mail). Dane te pomagają nam uzyskać wgląd w zachowania konsumentów, a także pomagają nam ulepszyć ekosystem poczty e-mail poprzez lepsze zrozumienie, w jaki sposób ludzie wchodzą w interakcję z otrzymywanymi nieosobowymi wiadomościami e-mail”.

Chociaż zgadzamy się z firmą Dayman firmy Return Path, że użytkownicy powinni otrzymywać „zwykłe angielskie” wyjaśnienie, co ich narzędzia będą robić z danymi klientów bez konieczności czytania długiej polityki prywatności, uważamy, że kopia witryny internetowej Organizatora nie spełnia tej potrzeby.

Zrobiliśmy więc coś, czego większość użytkowników narzędzi do skrzynek pocztowych prawdopodobnie nigdy nie zrobi: przeczytaj Politykę prywatności danych o ścieżce zwrotnej z około 4653 słowami .

Uwaga: nie jesteśmy prawnikami, więc skonsultuj się z jednym z nich, jeśli potrzebujesz opinii prawnej dotyczącej jakichkolwiek informacji omawianych na tym blogu.

Zagrzebani w polityce prywatności odkryliśmy, że narzędzie zbiera „wiadomości komercyjne, transakcyjne i dotyczące relacji” (Informacje o korzystaniu z usługi) — nie, nie tylko komercyjne wiadomości. Czy „wiadomości dotyczące związku” są osobistymi e-mailami? Według strony internetowej narzędzie koncentruje się na nieosobistej poczcie e-mail. Niestety, po wielokrotnym przeczytaniu tej sekcji w polityce, nie udało nam się znaleźć jasnego wyjaśnienia tego terminu.

W innych miejscach zasad wymienione są sekcje dotyczące gromadzenia i sprzedawania informacji nieosobowych stronom trzecim (Informacje o korzystaniu z usługi), że wiadomości e-mail mogą być przechowywane przez czas nieokreślony (Przechowywanie danych osobowych), że aplikacja może śledzić lokalizację użytkownika podczas korzystania z urządzenia mobilnego urządzeń (Informacje Zagregowane) oraz, że Twoje dane mogą zostać sprzedane innej firmie (Zmiana kontroli/Przeniesienie aktywów) w dowolnym momencie. Co stanie się z Twoimi danymi, jeśli inna firma nabędzie Return Path? Nie jest dla nas jasne.

Czy widzisz te informacje przekazywane w „prostym angielskim” tutaj:

Aplikacja e-mail organizatora Return Path

Źródło: Organizator Return Path

My też nie.

Sprzedaż paragonów Lyft to tylko wierzchołek góry lodowej

Sprzedaż danych Unroll.me firmie Uber wprawiła wiele osób w zmartwienie, ale nie jest to nawet zarysowanie szerszego zbioru danych sprzedawanych gdzie indziej.

Na przykład Return Path oferuje konsumentom wiele bezpłatnych narzędzi do skrzynek pocztowych i „gromadzi szczegółowe dane o paragonach konsumenckich z różnych źródeł”, aby pokazać „dane paragonów na poziomie produktu mogą pokazać, co faktycznie robią konsumenci”, podobno zbierając dane o płatnościach, banki, detaliści, e-commerce itp.:

Return Path Consumer Insights Kwestie dotyczące prywatności i bezpieczeństwa

Źródło: Informacje o ścieżce zwrotnej dla konsumentów

Na stronie Return Path, tuż nad tym obrazem, w czasie pisania tego bloga widniał napis „Return Path oferuje dane konsumenckie, jakich nigdy wcześniej nie widziałeś”. Jeśli powyższa grafika jest dokładnym przedstawieniem danych, które Return Path gromadzi i sprzedaje, ich kolekcja „Consumer Insight” wykracza daleko poza wpływy Lyft. Wyceny ubezpieczeniowe, wyciągi online, historia zakupów, zwyczaje oglądania Netflixa, zmiana dostawcy telefonu… Czy jest to rodzaj informacji, które konsumenci mogli udostępniać, rejestrując się w bezpłatnej skrzynce pocztowej?

Jak na ironię, wydaje się, że te same narzędzia do skrzynek pocztowych, które twierdzą, że poprawiają produktywność użytkowników i pomagają unikać spamu, mogą faktycznie mieć swoje dane kupowane i analizowane w celu informowania o większej ilości lepszego spamu (lub lepszego spamu) na podstawie informacji zebranych z kont e-mail użytkowników.

Pamiętaj, że jeśli korzystasz z darmowego narzędzia do skrzynki pocztowej, to Ty (i Twoje dane) jesteście produktem.

Narzędzia do skrzynek pocztowych innych firm mogą stanowić poważne zagrożenie bezpieczeństwa

Post Y Combinator rzekomo również zawierał wcześniejsze problemy z bezpieczeństwem na Unroll.me:

„Pracowałem dla firmy, która prawie przejęła Unroll.me. W tamtym czasie, czyli ponad trzy lata temu, przechowywali kopię każdego e-maila wysłanego lub otrzymanego w ramach ich usług. Te e-maile były przechowywane w serii słabo zabezpieczonych wiader S3”.

Źle zabezpieczone wiadra S3? Przechowuje kopię każdego e-maila? Niezależnie od tego, czy został wysłany, czy odebrany? Jeśli to prawda, może to oznaczać, że pamięć S3 Unroll.me jest pełna potwierdzeń zakupu, resetowania haseł i kto wie, jakie osobiste wiadomości. Można przechowywać nawet wysłane wiadomości zupełnie niezwiązane z użytkowaniem narzędzia.

A co z danymi logowania? Chociaż niektórzy dostawcy (Gmail, Yahoo, Outlook) zapewniają uwierzytelnianie OAuth, AOL i Apple (icloud.com) tego nie robią, a te aplikacje skrzynek pocztowych proszą o podanie danych logowania, w tym hasła, w celu korzystania z usługi. Chociaż wszystkie firmy twierdzą, że stosują standardowe najlepsze praktyki w zakresie bezpieczeństwa, naruszenia danych stały się powszechnym zjawiskiem w wielu firmach zajmujących się oprogramowaniem.

Wiele źródeł wskazało, że niektóre z tych narzędzi wymagają pełnego dostępu do odczytu i zapisu na Twoim koncie. Oznacza to, że aplikacja lub każdy, kto potencjalnie ją naruszy, może swobodnie zarządzać skrzynką odbiorczą według własnego uznania.

Jak powstrzymać narzędzia skrzynek pocztowych przed gromadzeniem danych e-mail?

Jeśli jesteś użytkownikiem Unroll.me, Boxbe, Organizer lub innych narzędzi do skrzynek pocztowych i chcesz cofnąć im możliwość gromadzenia, przechowywania i sprzedawania swoich danych, oto instrukcje, jak wyłączyć ich dostęp:

  • Gmail: odwiedź stronę bezpieczeństwa i przejdź do „Połączone aplikacje i witryny” w sekcji „Logowanie i zabezpieczenia” w menu po lewej stronie. Kliknij usługę, którą chcesz usunąć, a wyświetli się niebieski przycisk „Usuń”. Odpowiedz „Tak” na pytanie „Czy na pewno chcesz usunąć dostęp?”
  • Outlook: korzystanie z dodatków w Outlook.com lub Outlook w sieci Web
  • Yahoo!: Odbierz uprawnienia aplikacji innej firmy

W przypadku użytkowników, którzy udostępnili swoje dane logowania do poczty e-mail za pomocą narzędzia skrzynki pocztowej, należy natychmiast zmienić hasło do konta e-mail.

Zachęcamy również użytkowników do skontaktowania się z właścicielem narzędzia i poproszenia o wyjaśnienie, czy i w jaki sposób są przechowywane Twoje dane osobowe (np. wiadomości transakcyjne, wiadomości osobiste, dane logowania), wraz z łączem do sekcji ich polityki prywatności, która pozwala im na Zrób tak.