На прошлой неделе американские телеком-компании Verizon, AT&T и Sprint Corp заявили, что больше не будут продавать брокерам данные о местоположении пользовательских устройств.
Под катом — расскажем, почему операторы связи приняли такое решение.
/ фото Bertram Nudelbach CC
Проблема с данными геолокации
Брокер данных — это организация, которая собирает и продает информацию о пользователях различных сервисов. Брокеры анализируют историю поиска и покупок в сети, а также информацию, указанную в профилях социальных медиа (семейное положение, образование, интересы и проч.). Часто их клиентами становятся компании, которые проводят таргетированные рекламные кампании. Например, к услугам брокеров прибегали в Facebook.
Брокеры также собирают данные о геолокации пользователей – эту информацию они покупают у операторов сотовой связи. Данные о местоположении устройств используются анти-фрод системами и компаниями, оказывающими экстренную помощь на дорогах — при поломке автомобиля или в случае ДТП.
Однако в конце июня стало известно, что ряд телекоммуникационных провайдеров США прекратит продавать данные о местонахождении устройств своих клиентов. Решение последовало после того, как сенатор Рональд Ли Уайден (Ronald Lee Wyden) объявил, что некоторые брокеры передавали данные третьим лицам, а те использовали их без согласия пользователей на «отслеживание» телефонов.
Также стало известно, что один из брокеров, сотрудничавших с Verizon, передавал геоданные организациям, которые использовали их для слежки за людьми.
Поэтому в Verizon объявили, что прекратят продавать геоданные брокерам данных. Вскоре после Verizon свою политику в отношении передачи данных о местоположении клиентов также изменили провайдеры AT&T, Sprint Corp и T-Mobile.
/ фото Book Catalog CC
Проблемы безопасности
Одной из причин отказа от продажи данных геолокации также стал тот факт, что многие из «брокерских» сайтов слабо защищены. В случае взлома одного из них, хакеры смогут установить местоположение любого телефона на территории США.
Специалист по ИБ и исследователь Алекс Хейнс (Alex Haynes) проанализировал сайты брокеров данных США на предмет уязвимостей и выяснил, что половина получила оценку меньше A при прохождении теста SSL Labs. А на ряде ресурсов он выявил SQL-инъекции.
И были случаи, когда информация, переданная брокерам, попадала в руки третьих лиц без ведома провайдеров. В 2011 году злоумышленники «хакнули» маркетинговую компанию Epsilon, и в сеть «утекли» адреса электронной почты миллионов людей (из маркетингового списка компании). В итоге обладатели этих e-mail’ов подверглись атакам спамеров и стали жертвами направленного фишинга.
А в 2015 году взломщики брокера данных Experian «слили» личную информацию 15 млн пользователей, в том числе их имена, адреса, номера социального страхования и паспортов.
Регулирование деятельности брокеров данных в США
В свете последних событий, и поскольку брокеры работают с персональными данными пользователей, некоторые законодатели в США решили обратить внимание на регулирование этой области.
Например, в мае этого года в штате Вермонт был принят закон H.764, согласно которому все брокеры данных, работающие на территории штата Вермонт или собирающие информацию о его жителях, должны ежегодно регистрироваться в органах местного самоуправления, соблюдать все меры безопасности, предписанные законом, и сообщать об утечках данных правоохранительным органам (что раньше было необязательно).
Власти других штатов также применяют меры ужесточения требований к обработке ПД. Например, с сентября этого года компании, работающие на территории Колорадо, должны будут уведомлять клиентов и власти штата об «утечках» данных в рамках 30 дней, а у жителей Калифорнии, возможно, появятся дополнительные права в отношении ПД, если новая инициатива «пройдет испытание».
Среди этих прав: право на предоставление сведений, собранных какой-либо компанией на владельца ПД; право требовать, чтобы компании не продавали и не предоставляли ПД третьим лицам в коммерческих целях.
Из этого можно сделать вывод, что правительство и провайдеры США постепенно осознают опасность, которую несут утечки персональных данных, потому стараются защитить население страны от потенциальных угроз за счет более строгого законодательного регулирования.
P.S. Ещё пара материалов из Первого блога о корпоративном IaaS:
- Что относится к персональным данным с точки зрения российского регулятора
- Защита персональных данных: европейский подход
- Обработка персональных данных: что говорит закон
P.P.S. Посты по теме из нашего блога на Хабре:
- «Согласно GDPR»: как соц.сети меняют политики конфиденциальности и принципы работы с ПД
- Пропущенный дедлайн, или почему больше половины компаний оказались не готовы к GDPR
- Реформа авторского права в ЕС может полностью изменить положение дел в Сети
Автор: it_man