Posta kutusu araçları: Tüketici verilerinin gizliliği ve güvenliğine yönelik bir tehdit.

Yayınlanan: 2021-08-18

Tüketici verilerinin gizliliği ve güvenliğiyle ilgili giderek artan tartışmalı konu, e-posta abonelik yönetimi uygulaması Unroll.me ve Uber'in sahibi olan Slice tarafından kullanılan ticari uygulamaları eleştiren bir New York Times makalesinde yakın zamanda gündeme geldi. Makale, Slice'ın Unroll.me'den popüler araç paylaşım şirketine tüketici verilerini sattığını ortaya çıkardı.

“Uber, Slice Intelligence adlı bir analitik hizmetinden veri satın alarak, ekiplerini sözde rekabetçi zekaya adadı. Slice, sahibi olduğu Unroll.me adlı bir e-posta özeti hizmetini kullanarak müşterilerinin e-postayla gönderilen Lyft makbuzlarını gelen kutularından topladı ve anonimleştirilmiş verileri Uber'e sattı."

Unroll.me CEO'su Jojo Hedaya bir özür sunarken, bazı müşterileri tatmin edemedi ve bazı müşterilerin verilerinin yok edilmesini talep etmesi nedeniyle çeşitli web sitelerindeki yorum bölümleri ısındı.

Ama bir sorun var.

Unroll.me ve bunun gibi diğer araçlar, e-posta verilerinizi süresiz olarak saklama hakkını saklı tutabilir ve bu tür verilere sahip olmak, Unroll.me (Slice) gibi şirketleri bu kadar değerli kılan şeydir.

Örneğin, bir katılımcı Y Combinator'daki Unroll.me hikayesine yanıt olarak, "Slice'ın Unroll.me'yi satın almasının büyük bir kısmı bu e-posta arşivlerine erişim içindi. Özellikle, anahtar kelime eğilimlerini ve çevrimiçi satın almalardan elde edilen makbuzları aramak istediler."

Ve çoğu tüketicinin fark etmediği şey, bu tür veri toplama ve satışının diğer posta kutusu araçları şirketlerinde de gerçekleştiğidir (örneğin, eDataSource'tan Boxbe ve Return Path'den OtherInbox ve Organizer). Bu araçlardan bazılarını daha önce E-posta Panel Verileri Hakkındaki Gerçek adlı blogumuzda ele almıştık .

Tüketiciler neden e-posta verilerini gönüllü olarak teslim ediyor?

Kullandığınız her çevrimiçi hizmetin Şartlarını ve Gizlilik politikalarını okuyor musunuz?

İnternetteki En Büyük Yalan: Sosyal Ağ Hizmetlerinin Gizlilik Politikalarını ve Hizmet Şartlarını Yok saymak adlı son araştırmaya göre, araştırmacılar test deneklerinin %86'sının hizmet şartlarını okumak için bir dakikadan az zaman harcadığını ve şaşırtıcı bir şekilde %97'sinin daha az harcadığını buldu. beş dakikadan fazla. Ek olarak, %2'den daha azı, hizmet şartlarını kabul ederek, test uygulamasına erişim için ödeme olarak aslında "ilk doğan bir çocuk sağladıklarını" fark etti.

Çoğu tüketici gibi, ücretsiz posta kutusu araçlarının kullanıcılarının kabul ettikleri politikaları nadiren okuduklarını varsayıyoruz. Ama Eski bir atasözü geçerliliğini korumaktadır: Kullanmak ödeme değilseniz bir ürüne flaş haber-sizin (ve veri) ürünüdür.

Dönüş Yolu eDataSource Tüketici Verileri Gizliliği ve Güvenlik Tehdidi

Ücretsiz posta kutusu araçları kullanıcıları: Ürün sizsiniz (ve verileriniz).

E-posta sektörünün deneyimli isimlerinden Laura Atkins, kısa süre önce posta kutusu araçlarını ve e-posta paneli veri endüstrisini kullanıcılar için güvenlik riskleri konusunda görevlendirdi. Atkin'in endişelerine yanıt olarak Return Path'in Baş Gizlilik Görevlisi Dennis Dayman şu yorumu yaptı:

“Kayıt akışımız, kullanıcıların verilerini pazar araştırması amacıyla, ancak anonimleştirilmiş ve toplu bir şekilde kullandığımızı açıkça ortaya koyuyor. Bu beyanı, hiçbir kullanıcının göremeyeceği bir tıklama ile Hizmet Şartları'na gömülmeden, tam kayıt noktasında özlü ve sade bir İngilizce ile yapıyoruz.

Ancak İade Yoluna ait Organizatör kayıt sayfası şu şekildedir:

“Bu hizmeti sunarken, kişisel olmayan e-posta mesajları (örneğin ticari e-postalar) hakkında belirli bilgileri toplar ve paylaşırız. Bu veriler, tüketici davranışları hakkında bilgi edinmemize yardımcı oluyor ve ayrıca insanların aldıkları kişisel olmayan e-posta iletileriyle nasıl etkileşime girdiğini daha iyi anlayarak e-posta ekosistemini geliştirmemize yardımcı oluyor."

Kullanıcıların uzun bir gizlilik politikası okumalarına gerek kalmadan araçlarının müşteri verileriyle ne yapacağına dair "düz İngilizce" bir açıklama yapılması gerektiği konusunda Return Path'den Dayman ile hemfikir olsak da, Organizatör web sitesi kopyasının bu ihtiyacı karşılamadığını düşünüyoruz.

Bu nedenle, çoğu posta kutusu aracı kullanıcısının muhtemelen asla yapmadığı şeyi yaptık: Yaklaşık 4.653 kelimelik Dönüş Yolu Veri Gizliliği Politikasını okuyun .

Not: Biz avukat değiliz, bu nedenle bu blogda tartışılan bilgilerden herhangi biri hakkında yasal bir görüş istiyorsanız lütfen bir avukata danışın.

Gizlilik politikasına gömülü olarak, aracın "ticari, işlemsel ve ilişki mesajları" (Hizmet Kullanım Bilgileri) topladığını keşfettik - hayır, sadece ticari posta değil. Ve "ilişki mesajları" kişisel e-postalar mı? Web sitesine göre, araç kişisel olmayan e-postaya odaklanmıştır. Ne yazık ki, politikada bu bölümün birden çok kez okunmasından sonra, terimin net bir açıklamasını bulamadık.

Politikanın başka bir yerinde, toplanan ve üçüncü taraflara satılan kişisel olarak tanımlayıcı olmayan bilgiler (Hizmet Kullanım Bilgileri), e-postaların süresiz olarak saklanabileceği (Kişisel Bilgilerin Saklanması), uygulamanın mobil cihazla meşgul olduğunda kullanıcının konumunu izleyebileceği ile ilgili bölümler listelenmiştir. cihazlara (Toplu Bilgiler) ve verilerinizin herhangi bir zamanda başka bir şirkete satılabileceğine (Kontrol Değişikliği/Varlık Transferi). Başka bir şirket İade Yolu edinirse verilerinize ne olur? Bizim için net değil.

Burada “sade İngilizce” iletilen bilgileri görüyor musunuz:

Dönüş Yolunun Düzenleyici E-posta Uygulaması

Kaynak: Dönüş Yolu Düzenleyicisi

Biz de.

Lyft satış makbuzları buzdağının sadece görünen kısmı

Unroll.me verilerinin Uber'e satışı birçok insanı üzdü, ancak başka yerlerde satılan daha geniş veri koleksiyonunun yüzeyini bile çizmedi.

Örneğin, İade Yolu tüketicilere birden fazla ücretsiz posta kutusu aracı sunar ve bildirildiğine göre ödemeler hakkında veri topladığı bildirilen "ürün düzeyinde makbuz verileri size tüketicilerin gerçekte ne yaptığını gösterebilir" göstermek için "çeşitli kaynaklardan ayrıntılı tüketici makbuz verilerini toplar". bankalar, perakendeciler, e-ticaret vb.:

Dönüş Yolu Tüketici İçgörüleri Gizlilik ve Güvenlik Endişeleri

Kaynak: Dönüş Yolu Tüketici İçgörüleri

Dönüş Yolu web sitesinde, bu resmin hemen üstünde ve bu blogun yayınlandığı sırada "Dönüş Yolu, daha önce hiç görmediğiniz gibi tüketici verileri sunuyor" yazıyordu. Yukarıdaki grafik, Dönüş Yolu'nun topladığı ve sattığı verilerin doğru bir temsiliyse, "Tüketici İçgörüsü" koleksiyonu, Lyft makbuzlarının çok ötesine geçer. Sigorta teklifleri, çevrimiçi beyanlar, satın alma geçmişi, Netflix izleme alışkanlıkları, telefon sağlayıcıları arasında geçiş… Tüketicilerin ücretsiz bir posta kutusu aracına kaydolduklarında paylaşmayı düşündükleri bilgi türü bu mu?

İronik olarak, kullanıcı verimliliğini artırdığını ve istenmeyen postalardan kaçınmanıza yardımcı olduğunu iddia eden posta kutusu araçlarının, kullanıcının e-posta hesaplarından toplanan bilgilere dayanarak daha fazla, daha iyi spam (veya daha iyi spam) bilgilendirmek için verilerini satın alıp analiz ettirebileceği görülüyor.

Unutmayın, ücretsiz bir posta kutusu aracı kullanıyorsanız, ürün sizsiniz (ve verileriniz).

Üçüncü taraf posta kutusu araçları büyük bir güvenlik riski oluşturabilir

Y Combinator gönderisi, Unroll.me'de güvenlikle ilgili önceki sorunları da iddia etti:

“Neredeyse Unroll.me'yi satın alacak bir şirkette çalışıyordum. Üç yıldan fazla bir süre önce, hizmetlerinin bir parçası olarak gönderdiğiniz veya aldığınız her e-postanızın bir kopyasını saklamışlardı. Bu e-postalar, bir dizi zayıf güvenlikli S3 kovasında tutuldu.”

Kötü güvenlikli S3 kovaları mı? Her bir e-postanın bir kopyasını mı tutuyorsunuz? Gönderilmiş veya alınmış olmasına bakılmaksızın? Bu doğruysa, Unroll.me'nin S3 deposunun satın alma makbuzları, parola sıfırlamaları ve kim bilir ne tür kişisel mesajlarla dolu olduğu anlamına gelebilir. Aracın kullanımıyla tamamen alakasız gönderilen mesajlar bile saklanabilir.

Peki ya oturum açma kimlik bilgileri? Bazı sağlayıcılar (Gmail, Yahoo, Outlook) OAuth kimlik doğrulaması sağlasa da, AOL ve Apple (icloud.com) sağlamaz ve bu posta kutusu uygulamaları, hizmeti kullanmak için parolanız da dahil olmak üzere oturum açma kimlik bilgilerinizi ister. Tüm şirketler güvenlik için standart en iyi uygulamaları izlediklerini iddia etse de, veri ihlalleri birçok yazılım şirketinde yaygın bir durum haline geldi.

Birden fazla kaynak, bu araçlardan bazılarının hesabınıza tam okuma ve yazma erişimi istediğini belirtti. Bu, uygulamanın veya potansiyel olarak onu ihlal eden herhangi birinin, gelen kutunuzu uygun gördükleri şekilde yönetmek için serbest saltanatına sahip olabileceği anlamına gelir.

Posta kutusu araçlarının e-posta verilerinizi toplamasını nasıl durdurabilirsiniz?

Unroll.me, Boxbe, Organizer veya diğer posta kutusu araçlarının kullanıcısıysanız ve verilerinizi toplama, depolama ve satma yeteneklerini iptal etmek istiyorsanız, erişimlerini nasıl kapatacağınıza ilişkin talimatlar aşağıda verilmiştir:

  • Gmail: Güvenlik sayfasını ziyaret edin ve sol menüde "Oturum açma ve güvenlik" altındaki "Bağlı uygulamalar ve siteler"e gidin. Kaldırmak istediğiniz hizmeti tıklayın ve mavi “Kaldır” düğmesini gösterecektir. "Erişimi kaldırmak istediğinizden emin misiniz?" diye sorulduğunda "Evet" yanıtını verin.
  • Outlook: Outlook.com'da veya Web üzerinde Outlook'ta eklentileri kullanma
  • Yahoo!: Bir üçüncü taraf uygulamasının iznini kaldırın

E-posta oturum açma bilgilerini bir posta kutusu aracıyla paylaşan kullanıcılar için, e-posta hesabınızın şifresini hemen değiştirmelisiniz.

Ayrıca kullanıcıları, araç sahibiyle iletişime geçmeye ve kişisel bilgilerinizin (örneğin, işlem mesajları, kişisel mesajlar, oturum açma kimlik bilgileri) saklanıp saklanmadığı ve bunların nasıl saklandığı konusunda açıklama istemeleri ve gizlilik politikalarının bu bilgilere erişmelerine izin veren bölümüne bir bağlantı talep etmelerini öneririz. böyle yap.