邮箱工具:对消费者数据隐私和安全的威胁。

已发表: 2021-08-18

最近, 《纽约时报》的一篇文章批评了 Slice、电子邮件订阅管理应用程序 Unroll.me 和 Uber 的所有者所使用的商业实践,日益引起争议的消费者数据隐私和安全话题成为焦点。 文章透露,Slice 将来自 Unroll.me 的消费者数据出售给了流行的拼车公司。

“优步将团队投入到所谓的竞争情报中,从名为 Slice Intelligence 的分析服务中购买数据。 使用其拥有的名为 Unroll.me 的电子邮件摘要服务,Slice 从客户的收件箱中收集了通过电子邮件发送的 Lyft 收据,并将匿名数据出售给了优步。”

Unroll.me CEO Jojo Hedaya在道歉的同时,也未能让部分客户满意,部分客户要求销毁数据,各大网站评论区升温。

但是有一个问题。

Unroll.me 和其他类似的工具可以保留无限期保留您的电子邮件数据的权利,而拥有此类数据正是让 Unroll.me (Slice) 这样的公司变得如此有价值的原因。

例如,在回应 Y Combinator 上的 Unroll.me 故事时,一位撰稿人声称,“Slice 购买 Unroll.me 的很大一部分是为了访问这些电子邮件档案。 具体来说,他们想寻找关键字趋势和在线购买的收据。”

而大多数消费者没有意识到的是,其他邮箱工具公司也正在发生这种类型的数据收集和销售(例如,eDataSource 的 Boxbe,以及 Return Path 的 OtherInbox 和 Organizer)。 我们之前在博客“关于电子邮件面板数据的真相”中介绍了其中的一些工具。

为什么消费者会自愿交出他们的电子邮件数据?

您是否阅读了您使用的每项在线服务的条款和隐私政策?

根据最近的研究互联网上最大的谎言:无视社交网络服务的隐私政策和服务条款政策,研究人员发现 86% 的测试对象阅读服务条款的时间不到一分钟,惊人的 97% 花费更少超过五分钟。 此外,不到 2% 的人注意到,通过同意服务条款,他们实际上是在“提供第一个孩子”作为访问测试应用程序的费用。

与大多数消费者一样,我们假设免费邮箱工具用户很少阅读他们同意的政策。 但古老的格言仍然正确:如果您不花钱购买产品——快讯——您(和您的数据)就是产品。

返回路径 eDataSource 消费者数据隐私和安全威胁

免费邮箱工具用户:您(和您的数据)就是产品。

电子邮件行业资深人士 Laura Atkins 最近将邮箱工具和电子邮件面板数据行业用于处理用户安全风险的任务。 为了回应阿特金的担忧,Return Path 的首席隐私官丹尼斯·戴曼 (Dennis Dayman) 发表了以下评论:

“我们的注册流程清楚地表明,我们将用户数据用于市场研究目的,但是以匿名和汇总的方式。 我们在注册时以简洁、通俗的英语做出该声明——而不是隐藏在用户永远不会看到的点击服务条款中。

但这就是 Return Path 拥有的 Organizer 注册页面的内容:

“在提供这项服务时,我们会收集和共享有关非个人电子邮件(例如商业电子邮件)的某些信息。 这些数据有助于我们深入了解消费者行为,还有助于我们通过更好地了解人们如何与他们收到的非个人电子邮件进行交互来改进电子邮件生态系统。”

虽然我们同意 Return Path 的 Dayman 的观点,即应该向用户提供关于他们的工具将如何处理客户数据的“通俗易懂”的解释,而无需阅读冗长的隐私政策,但我们认为组织者网站副本无法满足这一需求。

因此,我们做了大多数邮箱工具用户可能从未做过的事情:阅读大约 4,653 字的返回路径数据隐私政策

注意:我们不是律师,因此如果您想就本博客中讨论的任何信息获得法律意见,请咨询律师。

隐藏在隐私政策中,我们发现该工具正在收集“商业、交易和关系消息”(服务使用信息)——不,不仅仅是商业邮件。 “关系信息”是个人电子邮件吗? 据该网站称,该工具专注于非个人电子邮件。 不幸的是,在多次阅读政策中的这一部分后,我们未能找到对该术语的明确解释。

政策中的其他地方列出了关于收集和出售给第三方的非个人身份信息(服务使用信息)、电子邮件可能会无限期存储(个人信息的保留)、应用程序可能会在使用移动设备时跟踪用户位置的部分设备(汇总信息),并且您的数据可能随时出售给另一家公司(控制权变更/资产转移)。 如果另一家公司收购 Return Path,您的数据会怎样? 我们不清楚。

您是否在此处看到以“简单英语”传达的信息:

Return Path 的管理器电子邮件应用程序

来源:Return Path 的组织者

我们也不行。

出售 Lyft 收据只是冰山一角

将 Unroll.me 数据出售给优步让许多人感到不安,但它甚至没有触及在其他地方出售的更广泛数据集合的表面。

例如,Return Path 为消费者提供多种免费邮箱工具,并“从各种来源收集详细的消费者收据数据”,以显示“项目级别的收据数据可以显示消费者实际在做什么”,据报道收集付款数据,银行、零售商、电子商务等:

Return Path Consumer Insights 隐私和安全问题

资料来源:Return Path Consumer Insights

在 Return Path 网站上,就在这张图片的正上方,在撰写本博客时,它写着“Return Path 提供了您以前从未见过的消费者数据。” 如果上图准确表示了 Return Path 正在收集和销售的数据,那么他们的“消费者洞察”收集远远超出 Lyft 收据。 保险报价、在线报表、购买历史记录、Netflix 观看习惯、更换电话提供商……这是消费者在注册免费邮箱工具时所期望分享的信息类型吗?

具有讽刺意味的是,似乎声称可以提高用户工作效率并帮助您避免垃圾邮件的邮箱工具实际上可能会购买和分析其数据,以根据从用户电子邮件帐户收集的信息提供更多、更好的垃圾邮件(或更好的垃圾邮件)。

请记住,如果您使用的是免费邮箱工具,那么您(和您的数据)就是产品。

第三方邮箱工具可能构成重大安全风险

Y Combinator 的帖子还声称之前 Unroll.me 存在安全问题:

“我在一家几乎收购 Unroll.me 的公司工作。 当时,也就是三年多前,他们保留了您在服务期间发送或接收的每封电子邮件的副本。 这些电子邮件保存在一系列安全性较差的 S3 存储桶中。”

S3 存储桶安全性差? 保留每封电子邮件的副本? 不管是发送还是接收? 如果这是真的,这可能意味着 Unroll.me 的 S3 存储充满了购买收据、密码重置以及谁知道什么样的个人信息。 甚至可以存储与该工具的使用完全无关的发送消息。

那么登录凭据呢? 尽管某些提供商(Gmail、Yahoo、Outlook)提供 OAuth 身份验证,但 AOL 和 Apple (icloud.com) 不提供,并且这些邮箱应用程序要求您提供登录凭据(包括密码)以使用该服务。 尽管所有公司都声称他们遵循标准的最佳安全实践,但数据泄露已成为许多软件公司的普遍现象。

多个消息来源指出,其中一些工具要求对您的帐户进行完全读写访问。 这意味着应用程序或任何可能违反它的人都可以自由地管理他们认为合适的收件箱。

如何阻止邮箱工具收集您的电子邮件数据

如果您是 Unroll.me、Boxbe、Organizer 或其他邮箱工具的用户,并且想要撤销他们收集、存储和出售您的数据的能力,以下是有关如何关闭其访问权限的说明:

  • Gmail:访问安全页面,然后转到左侧菜单“登录和安全”下的“关联的应用和网站”。 单击您要删除的服务,它将显示蓝色的“删除”按钮。 当询问“您确定要删除访问权限吗?”时,请回答“是”。
  • Outlook:在 Outlook.com 或 Outlook 网页版中使用加载项
  • Yahoo!:删除对第三方应用程序的权限

对于使用邮箱工具共享电子邮件登录凭据的用户,您应立即更改电子邮件帐户的密码。

我们还鼓励用户联系工具所有者并要求澄清是否以及如何存储您的个人信息(例如,交易消息、个人消息、登录凭据),以及指向其隐私政策中允许他们的部分的链接这样做。