Инструменты почтового ящика: угроза конфиденциальности и безопасности данных потребителей.

Опубликовано: 2021-08-18

Все более спорная тема конфиденциальности и безопасности данных потребителей была недавно в центре внимания в статье New York Times, критикующей методы ведения бизнеса, используемые Slice, владельцем приложения для управления подпиской на электронную почту Unroll.me, и Uber. В статье говорилось, что Slice продавал данные о потребителях с Unroll.me популярной компании по продаже поездок.

«Uber посвятил команды так называемой конкурентной разведке, покупая данные из аналитической службы Slice Intelligence. Используя принадлежащую ей службу дайджеста электронной почты под названием Unroll.me, Slice собирал квитанции, отправленные Lyft по электронной почте, из их почтовых ящиков и продавал анонимные данные Uber ».

Хотя генеральный директор Unroll.me Джоджо Хедая принес извинения, это не удовлетворило некоторых клиентов, а разделы комментариев на различных веб-сайтах стали жаркими, поскольку некоторые клиенты потребовали уничтожить их данные.

Но есть проблема.

Unroll.me и другие подобные им инструменты могут оставлять за собой право хранить данные вашей электронной почты на неопределенный срок, и именно владение этим типом данных делает такие компании, как Unroll.me (Slice), такими ценными.

Например, в ответ на историю Unroll.me на Y Combinator один из участников заявил: «Большая часть Slice покупает Unroll.me для доступа к этим архивам электронной почты. В частности, они хотели найти тенденции ключевых слов и квитанции от покупок в Интернете ».

И что большинство потребителей не осознают, так это то, что сбор и продажа данных этого типа происходит и с другими компаниями, занимающимися инструментами для работы с почтовыми ящиками (например, Boxbe от eDataSource, и OtherInbox и Organizer от Return Path). Ранее мы рассказывали о некоторых из этих инструментов в нашем блоге «Правда о данных электронной почты» .

Почему потребители добровольно передают данные своей электронной почты?

Читаете ли вы условия и политику конфиденциальности всех используемых вами онлайн-сервисов?

Согласно недавнему исследованию «Самая большая ложь в Интернете: игнорирование политик конфиденциальности и правил использования социальных сетей» , исследователи обнаружили, что 86% испытуемых потратили менее одной минуты на чтение условий обслуживания, а ошеломляющие 97% потратили меньше. чем пять минут. Кроме того, менее 2% отметили, что, соглашаясь с условиями предоставления услуг, они фактически «давали первенца» в качестве платы за доступ к тестируемому приложению.

Как и большинство потребителей, мы предполагаем, что пользователи бесплатных инструментов почтового ящика редко читают политику, с которой они согласны. Но старая пословица остается верной: если вы не платите за использование продукта - новости - вы (и ваши данные) являетесь продуктом.

Путь возврата eDataSource Consumer Data Privacy and Security Threat

Пользователи бесплатных инструментов почтового ящика: вы (и ваши данные) являетесь продуктом.

Ветеран индустрии электронной почты Лора Аткинс недавно взяла на себя задачи по устранению угроз безопасности для пользователей с помощью инструментов почтового ящика и индустрии данных панелей электронной почты. И в ответ на опасения Аткина, директор по конфиденциальности Return Path Деннис Дэйман сделал следующий комментарий:

«Наш процесс регистрации дает понять, что мы используем данные пользователей в целях исследования рынка, но анонимно и в совокупности. Мы делаем это кратким и понятным английским языком прямо в момент регистрации, а не утопаем в Условиях обслуживания, которые ни один пользователь никогда не увидит.

Но вот как гласит страница регистрации организатора, принадлежащего Return Path:

«Предлагая эту услугу, мы собираем и передаем определенную информацию о неличных сообщениях электронной почты (например, коммерческих сообщениях электронной почты). Эти данные помогают нам понять поведение потребителей, а также помогают нам улучшить экосистему электронной почты, лучше понимая, как люди взаимодействуют с получаемыми неличными сообщениями электронной почты ».

Хотя мы согласны с Дайманом из Return Path в том, что пользователям следует дать «простое английское» объяснение того, что их инструменты будут делать с данными клиентов, без необходимости читать длинную политику конфиденциальности, мы считаем, что копия веб-сайта Организатора не может удовлетворить эту потребность.

Итак, мы сделали то, что большинство пользователей инструментов почтовых ящиков, вероятно, никогда не сделают: ознакомились с Политикой конфиденциальности данных о пути возврата, состоящей примерно из 4653 слов.

Примечание. Мы не юристы, поэтому проконсультируйтесь с одним из них, если вы хотите получить юридическое заключение относительно любой информации, обсуждаемой в этом блоге.

Мы обнаружили, что этот инструмент собирает «коммерческие, транзакционные сообщения и сообщения о взаимоотношениях» (информацию об использовании службы), а не только коммерческую почту. И являются ли «сообщения о взаимоотношениях» личными электронными письмами? Согласно веб-сайту, инструмент ориентирован на неличную электронную почту. К сожалению, после многократного прочтения этого раздела в политике нам не удалось найти четкого объяснения этого термина.

В другом месте политики перечислены разделы, касающиеся сбора и продажи нелично идентифицирующей информации третьим сторонам (информация об использовании службы), о том, что электронные письма могут храниться на неопределенный срок (сохранение личной информации), чтобы приложение могло отслеживать местоположение пользователя при взаимодействии с мобильным устройством. устройств (совокупная информация), и что ваши данные могут быть проданы другой компании (смена контроля / передача активов) в любое время. Что произойдет с вашими данными, если другая компания приобретет Return Path? Нам это не понятно.

Вы видите эту информацию, изложенную на «простом английском» здесь:

Приложение электронной почты организатора Return Path

Источник: Организатор Return Path

Мы тоже.

Продажа квитанций Lyft - это лишь верхушка айсберга

Продажа данных Unroll.me Uber расстроила многих людей, но это даже не затрагивает более широкий набор данных, продаваемых где-то еще.

Например, Return Path предлагает потребителям несколько бесплатных инструментов для работы с почтовыми ящиками и «собирает подробные данные о квитанциях потребителей из разнообразного массива источников», чтобы показать, что «данные о квитанциях на уровне товаров могут показать вам, что на самом деле делают потребители», как сообщается, собирая данные о платежах, банки, магазины, электронная коммерция и т. д .:

Обратный путь Consumer Insights Проблемы конфиденциальности и безопасности

Источник: Статистика потребителей по обратному пути.

На веб-сайте Return Path, прямо над этим изображением, во время написания этого блога, было написано: «Return Path предлагает данные потребителя, которых вы никогда раньше не видели». Если приведенный выше рисунок является точным представлением данных, которые Return Path собирает и продает, их сбор «Consumer Insight» выходит далеко за рамки квитанций Lyft. Расценки на страхование, онлайн-выписки, история покупок, привычки просмотра Netflix, смена телефонных провайдеров… Является ли это типом информации, которую потребители представляют, когда подписываются на бесплатный инструмент для работы с почтовым ящиком?

По иронии судьбы, похоже, что те самые инструменты почтового ящика, которые утверждают, что повышают продуктивность пользователей и помогают избежать спама, на самом деле могут покупать и анализировать свои данные, чтобы информировать больше, лучший спам (или больше спама) на основе информации, собранной из учетных записей электронной почты пользователя.

Помните, что если вы используете бесплатный почтовый ящик, вы (и ваши данные) являетесь продуктом.

Сторонние инструменты почтового ящика могут представлять серьезную угрозу безопасности

В сообщении Y Combinator также упоминались предыдущие проблемы с безопасностью на Unroll.me:

«Я работал в компании, которая чуть не приобрела Unroll.me. В то время, то есть более трех лет назад, они хранили копии каждого вашего электронного письма, которое вы отправляли или получали в рамках их обслуживания. Эти электронные письма хранились в серии плохо защищенных корзин S3 ».

Плохо закрепленные ковши S3? Храните копию каждого электронного письма? Независимо от того, отправлено оно или получено? Если это правда, это может означать, что хранилище S3 Unroll.me переполнено квитанциями о покупках, сбросами паролей и неизвестно какими личными сообщениями. Могут быть сохранены даже отправленные сообщения, совершенно не связанные с использованием инструмента.

А как насчет учетных данных? Хотя некоторые поставщики (Gmail, Yahoo, Outlook) предоставляют аутентификацию OAuth, AOL и Apple (icloud.com) этого не делают, и эти приложения для почтовых ящиков запрашивают ваши учетные данные для входа, включая пароль, для использования службы. Хотя все компании заявляют, что следуют стандартным передовым методам обеспечения безопасности, утечки данных стали обычным явлением для многих компаний-разработчиков программного обеспечения.

Многие источники указали, что некоторые из этих инструментов запрашивают полный доступ для чтения и записи к вашей учетной записи. Это означает, что приложение или любой, кто потенциально может его нарушить, могут иметь полную свободу управления вашим почтовым ящиком по своему усмотрению.

Как запретить инструментам почтового ящика собирать данные вашей электронной почты

Если вы пользуетесь Unroll.me, Boxbe, Organizer или другими инструментами почтового ящика и хотите лишить их возможности собирать, хранить и продавать ваши данные, вот инструкции, как закрыть им доступ:

  • Gmail: перейдите на страницу безопасности и перейдите в раздел «Подключенные приложения и сайты» в разделе «Вход и безопасность» в левом меню. Щелкните службу, которую хотите удалить, появится синяя кнопка «Удалить». Ответьте «Да» на вопрос: «Вы уверены, что хотите закрыть доступ?»
  • Outlook: использование надстроек в Outlook.com или Outlook в Интернете
  • Yahoo !: Удаление разрешения для стороннего приложения

Для пользователей, которые поделились своими учетными данными электронной почты с инструментом почтового ящика, вы должны немедленно изменить пароль для своей учетной записи электронной почты.

Мы также рекомендуем пользователям связываться с владельцем инструмента и запрашивать разъяснения относительно того, хранится ли и как ваша личная информация (например, транзакционные сообщения, личные сообщения, учетные данные), а также ссылку на раздел их политики конфиденциальности, позволяющий им Сделай так.