Ijesztően könnyű bárkit nyomon követni és kémkedni utána telefonos reklámokon keresztül

Tavaly szeptemberben írtunk először azokról az izraeli kémprogramokról, amik online reklámokat felhasználva gyakorlatilag nyomon tudnak követni bárkit, akinek a telefonján megjelennek hirdetések. Akkor maradt még annyi vigasz, hogy a módszer használói előtt a követett emberek konkrét identitása titokban marad, de azóta kiderült, hogy ez már nagyon nem így van.

Brian Krebs kiberbiztonsági szakértő egy olyan ügyről írt, ami újabb, egészen hétköznapi példája annak, ahogy egyre közelebb kerülünk az orwelli disztópiához.

Azok közül, akiknek van okostelefonjuk, talán sokaknak feltűnt, hogy a neten folyamatosan reklámokat nyomnak az arcunkba, amikről sokan úgy gondolják, hogy a telefon lehallgatja őket, és azért tudja, mit kell reklámozni, pedig nem is. Ezek a reklámok önmagukban is idegesítők lehetnek, de általában elfogadjuk a létüket, hiszen hozzájárulnak ahhoz, hogy sok online szolgáltatás ingyenes maradjon. Sőt, igazából ez a reklámszolgáltatók legerősebb érve: így maradhatnak ingyenesek játékok, újságok, a YouTube – ne tűnjön már nagy árnak az, hogy emiatt néha meg kell néznünk egy-egy hirdetést.

Felhasználói oldalról pedig az az érv, hogy oké, a reklámokkal foglalkozó cégek tudnak rólam néhány dolgot, de nincs mit titkolnom, úgyse mennek vele semmire. Ez azonban nem teljesen igaz. Sőt.

Rendőrök a nyomkövetés ellen

A Delaware államban működő Atlas Data Privacy célja az, hogy visszaszerezze az ügyfelei személyes információit az adatbrókerektől, így csak idén 151 ilyen céget pereltek be 20 ezer New Jersey-i rendvédelmi dolgozó nevében.

Van ugyanis New Jersey-ben egy úgynevezett Daniel-törvény, aminek az a lényege, hogy az adatbróker cégek a piacra dobott adatbázisaikban nem tárolhatják az állam rendőrei, kormányzati személyzete, bírók, valamint a családtagjaik személyes adatait. A törvényt 2020-ban fogadták el, miután a 20 éves Daniel Anderlt, egy állami bíró fiát, meggyilkolták egy, a bírót célzó támadásban.

Az Atlas a Daniel-törvényre hivatkozva perelte be rendőrök nevében a Babel Street nevű techcéget, amely kicsit leegyszerűsítve olyan szolgáltatást nyújt ügyfelei számára, amivel azok kijelölhetnek egy területet bárhol a világon, és megkapják, hogy az elmúlt napokban milyen mobileszközök jártak azon belül.

Ehhez a mobilos hirdetési azonosító nevű kódot (Mobile Advertising ID – MAID) használják, ami egy, a mobiltelefonokat azonosító, egyedi betű–szám kombináció. Ennek elméletben az lenne a lényege, hogy a hirdetések célzásában használt adatokat (lokáció, érdeklődési körök, vásárlási előzmények) ne lehessen konkrét személyekhez kötni, elég legyen személyazonosság helyett ez a kód.

Azonban ha valaki ártani akar, mondjuk, egy bírónak, akiről tudja, hogy ő az egyedüli muszlim a bíróságon, akkor elég nyomon követnie azt az MAID-t, ami rendszeresen felbukkan a bíróság dolgozói parkolójában és egy mecsetnél, és jó eséllyel meg is találta, akit keres. Innen már csak vissza kell nézni, hol jár az adott telefon esténként, így valószínűleg az illető otthonát is lenyomozta. A lakóhely azonosítására a Babel Streetnek egyébként külön szolgáltatása is van.

Ezt az azonosítót használja a cég LocateX platformja is, amin előfizetők egyszerűen követhetnek több, vagy akár egy konkrét mobiltelefont is. Ehhez a Babel Street az adatokat adatbrókerektől, valamint a felhasználók által telepített alkalmazásokból szerezte meg.

Amikor egy felhasználó a telefonján netezik, és találkozik egy hirdetéssel, akkor, mielőtt még bármi is felbukkanna előtte, az oldal néhány milliszekundum alatt szól a világ reklámtőzsdéinek, hogy helló, itt van egy szempár, lehet licitálni. Annak érdekében, hogy a licitálók valóban annál hirdessenek, aki aktuálisan a célcsoportjuk, az oldal megosztja velük a felhasználó MAID-jéhez tartozó adatokat, így például a helyzetét, az eszköz típusát, a felhasználó életkorát, ilyeneket. Ehhez az adatáramláshoz azonban szinte bárki hozzáférhet, és már vannak cégek, amik az így szerzett információval, köztük a helyadatokkal kereskednek. Így akár Vlagyimir Putyint is lehetne követni.

De nem kell ehhez a neten szörfölni, több alkalmazás, mint például az AccuWeather, a Grindr vagy a MyFitnessPal is begyűjti az MAID-t és a helyadatokat, amiket aztán továbbárulnak brókereknek.

A Babel Street is ilyen adatokat használ, és az Atlas felbérelt egy magánnyomozót, hogy derítse ki, mégis mennyire hatékony a szolgáltatás. A válasz az, hogy ijesztően. A nyomozó kapott egy ingyenes próbaverziót a Babel Streettől, amivel egyszerűen ki tudta matekozni több olyan New Jersey-i rendőr otthonát, akik korábban több halálos fenyegetést is kaptak már.

Az Atlas szerint a nyomozó nem rögtön a Babel Streetet célozta meg, több száz olyan adatbróker szolgáltatását is kipróbálta, amikkel akár az ügyfeleik adatai is piacra kerülhettek. Kiderült, hogy a Babel Street a platformjába egy olyan keresőmotort is beépített, amivel emberekre rákeresve rengeteg adatot lehet találni róluk, így még egyszerűbb megtalálni a keresett eszközt. Daniel Anderl anyjának címét is egy ilyen keresőmotorral nyomozta le a fegyveres, aki megölte a bíró fiát.

A perirat szerint a magánnyomozó rákérdezett a Babel Streetnél, hogy kaphatna-e hozzáférést néhány lakcímhez New Jersey-ben. A cég erre azt válaszolta, hogy ilyen adatokat csak a hatóságoknak adnak ki, vagy esetleg olyanoknak, akik hatósági megbízást kapnak. A nyomozó azt mondta, felmerült benne, hogy szívesen együtt dolgozna a hatóságokkal (ami igaz is volt), amire a Babel Street salesese rá is vágta, hogy ez így elég is, úgy se fogják ellenőrizni.

A nyomozó több felvételt is készített a Babel Street eszközeinek alkalmazásáról, amit néhány médiumnak is megmutattak. Kiderült, hogy a LocateX-szel vagy az ahhoz hasonló eszközökkel közelről végig lehet követni több százmillió ember mindennapi életét. Például nyomon tudta követni olyanok mozgását, akik rendszeresen a kizárólag az esküdtszék tagjainak fenntartott bírósági parkolóban álltak meg – ami potenciálisan nagy veszélyt jelenthet ezekre az emberekre.

És akkor az állami megfigyelésről még nem is beszéltünk. Az amerikai legfelsőbb bíróság 2022-ben kivette az abortuszhoz való jogot az alapjogok közül, így több államban szinte azonnal betiltották – sokban még olyan az esetben is, ha egy kiskorú nemi erőszak miatt esik teherbe.

A tiltással nemcsak az ezekben az államokban működő abortuszklinikákat célozzák, hanem konzervatív csoportok azokat is bíróság elé vinnék, akik segítenek nőknek átjutni más államokba, ahol legális a beavatkozás – ezt Idahóban például már tiltják is. Ezt rendkívül könnyű lenne követni a LocateX-hez hasonló eszközökkel, amit az Atlas nyomozója nagy sikerrel ki is próbált.

Nem is kell kémprogram, elég shoppingolni

Az Atlas két rendőr ügyfele a Maloney házaspár volt: Justyna több fenyegetést is kapott, miután kikerült egy videó az internetre arról, hogy egy internetes hírességet próbál meggyőzni, hogy ne filmezzen egy hivatal előtt. Bár a párbeszéd elég feszült volt, senki nem volt erőszakos, az ügy békésen zárult. Azonban kikerült a netre erről egy durván megszerkesztett, manipulált videó, ami után a rendőr lakcíme és otthoni telefonszáma is megjelent az interneten, és több fenyegető sms-t, sőt, halálos üzenetet kapott.

Az Atlas átnézte Justyna iPhone-ját, ami közel 100 ezerszer fordult elő a Babel Street adatbázisában. Mindez egy darab alkalmazásra volt visszavezethető: a Macy’s áruház appjára, ami „a jobb vásárlói élmény érdekében” begyűjtötte a helyadatait, amit tovább is adott néhány partnernek. A cég közleménye szerint nincs közvetlen kapcsolatuk a Babel Streettel.

Férje, Scott telefonja nem szerepelt a cég adatbázisában. Ez viszont azt jelenti, hogy valójában senki nincs biztonságban, hiszen elég, ha valaki, akivel együtt él, megosztja az ilyen jellegű adatokat. Maloney-ék számára a szituáció kifejezetten ijesztő volt, hiszen – hiába állítja a Babel Street, hogy a LocateX-et sehol nem szabad jogi célokra alkalmazni, még bírósági utasításra sem – az Atlas nyomozója nagyobb nehézségek nélkül hozzáfért a rendszerhez.

„Rendőrként ahhoz, hogy nyomon követhessek valakit, szükségem van egy bíró által kiadott engedélyre – és ez egy bűnügyi nyomozáshoz szükséges, miután alapos okot szolgáltattunk rá. Az engem és a családomat követő adatbrókerek tevékenysége, csak azért, hogy az adatokat eladják a beleegyezésünk nélkül, még akkor is, ha kifejezetten megkértük őket, hogy ne tegyék, mélységesen zavaró” – mondta Scott Maloney.

Ezt a véleményt azonban nem minden rendőr osztja, így a hatóságok több esetben is előszeretettel használnak ilyen, minimum vitatott etikai hátterű eszközöket. Tehát valójában bárkit követhetnek, legyen rendőr, politikus vagy hétköznapi ember, aki azt gondolja, nincs rejtegetnivalója.

„A politikusoknak meg kell érteniük, hogy őket, munkatársaikat és a közalkalmazottakat hogyan fenyegeti a személyes adatok értékesítése, és a választópolgároknak fel kell ismerniük, hogy az adatbrókerek »felügyeletét« vagy »legjobb gyakorlatait« a vállalatok arra tervezték, hogy eltereljék a figyelmet az alapvető problémákról és az átfogó adatvédelmi és biztonsági megoldásokról”

– írta Justin Sherman szakjogász. Van egyébként, ahol elkezdték komolyan venni a problémát, és már 37 amerikai állam tervez vagy fogadott el valamilyen Daniel-törvényhez hasonló intézkedést. Az Atlas által benyújtott perirat szerint, miután felszólították a LexisNexis adatbrókert, hogy töröljék az ügyfeleik adatait, a cég azt jelentette a bankoknak, hogy ellopták nagyjából 18 500 ilyen rendőr személyazonosságát, így befagyasztatták a hiteleiket. Emellett sok lekérdezésnél elvileg azt állítják, hogy az Atlas ügyfelei nem is szerepelnek az adatbázisukban, így viszont a bankok gyakran elutasítják az Atlas ügyfeleinek hitelkérelmét, vagy nem nyitnak nekik bankszámlát – hiszen nem szerepelnek az adatbázisban, ahonnan általában mindenkiről le tudják kérni a fontos adatokat, hogy meggyőződjenek arról, hogy a jelentkező valóban létezik.

Nem minden telefon egyenlő

Az Apple 2021 áprilisában kiadott egy szoftverfrissítést az iPhone-okra, ami rákényszerít minden alkalmazást, hogy engedélyt kérjen a felhasználó követésére. Ezt egy gombnyomással meg lehet tagadni, sőt, azt is be lehet kapcsolni, hogy az alkalmazások ne is tudjanak erre rákérdezni, automatikusan tiltott legyen a dolog. A Facebook pár hónappal később bejelentette, hogy 10 milliárd dollár reklámbevételtől esnek el 2022-ben az új funkció miatt.

A Google, a világ talán legnagyobb reklámhelyárusa és egyben az Android fejlesztője, kicsit más irányt vett ezen a téren. Az androidos telefonoké a globális mobilpiac 72 százaléka, és egyelőre nem is akarják beszüntetni a felhasználók követését – bár azt rendszeresen kijelentik, hogy mindent teljesen legálisan csinálnak, és nem is osztanak meg másokkal felhasználói IP-címeket vagy GPS-koordinátákat.

Mindkét operációs rendszerben megvan a lehetőség, hogy teljesen kikapcsoljuk a helyadatok átadását, és bár az alkalmazások sok esetben azt állítják, hogy az elengedhetetlen ahhoz, hogy a legjobb felhasználói élményt nyújtsák. De ahogy az említett Macy’s-alkalmazás esetében, úgy a legtöbbnél valójában nem olyan fontos. Az AccuWeathernél például azért lehet engedélyezni a helyadatok megosztását, hogy az időjárás-jelentő alkalmazás automatikusan tudja, hol vagyunk. Azonban erre valójában nincs égető szükség, hiszen manuálisan is be lehet írni a keresőbe milyen környék időjárására vagyunk kíváncsiak.

Az Atlas elemzői a Babel Streettől kapott eszközzel az androidos telefonok 80 százalékát tudták nyomon követni, míg az iPhone-ok 25 százalékához tartozó MAID (amit az Apple IDFA-nak hív) jelent meg az adatbázisban.

Az óceán jobb oldalán

De mi a helyzet itthon? Mi is használunk telefonokat, látunk reklámokat, minket is ugyanígy követnek? Van nekünk itt az EU-ban egy ilyen GDPR nevű adatvédelmi dolgunk, tehát felmerülhet, hogy nagyobb biztonságban vannak az adataink, mint az Egyesült Államokban lennének.

A GDPR (ami online itt elérhető) a személyes adatokra vonatkozik, a helymeghatározó adat pedig – amennyiben az alapján valaki azonosítható – a személyes adat fogalmán belül is nevesített adatkategória, így a GDPR tárgyi hatálya alá esik – magyarázza dr. Ducsay Zsuzsanna ügyvéd. Sőt, akár különleges személyes adatnak is minősülhet, ha az például egy ember etnikumára, politikai véleményére, vallási vagy világnézeti meggyőződésére vonatkozik – mint ahogy a muszlim bíró példáján is látható. A GDPR 9. cikke alapján a különleges személyes adatok kezelése – néhány kivétellel – tilos.

Az is fontos kérdés, hogy kire vonatkozik a GDPR – mind az adatkezelői, mind a felhasználói oldalon. Ha egy adatkezelő cégnek van egy EU-s tevékenységi helye, akkor tiszta sor, él a GDPR. Azonban Ducsay megjegyezte, hogy a tevékenységi hely meghatározása sok esetben nem olyan egyszerű, mint ahogy elsőre tűnhet.

Ha az adatkezelőnek nincs tevékenységi helye az Unióban, akkor abban az esetben vonatkozik rá a GDPR, ha EU-s állampolgároknak nyújt szolgáltatást, vagy ha „az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó”. Mivel a helyadat erősen kötődik a felhasználói viselkedéshez, így megint csak egyértelmű, hogy érvényes a GDPR, még ha az adatkezelő nem az EU-ban tevékenykedik is.

Azonban ez a felhasználói oldalról nem az állampolgárságra vonatkozik. Tehát csak azért, mert valaki EU-s állampolgár, a GDPR nem védi mindenhol a világban. Ha egy magyar állampolgár az adatvédelmi szempontból például a kissé vadnyugatibb Egyesült Államokba, Kínába vagy Oroszországba utazik, akkor a helyi adatvédelmi törvények hatálya alá kerül, míg bárkire, aki az EU-ban tartózkodik, a GDPR-os helyadatvédelem vonatkozik.

Ahhoz, hogy valaki az adatainkat kezelje, a GDPR alapján meg kell adnia, hogy mi azokkal a célja, és azt, hogy milyen jogalappal gyűjtené be az adatokat. Az előbbi meghatározása kreatívabb feladat a cégek számára, és nem is elég például annyit beírni, hogy az a cél, hogy a tevékenységét tudja végezni. Az adatkezelés során a GDPR alapelveit is mindig figyelembe kell venni, így például az sem lehet cél, hogy valaki csak úgy, „majd egyszer jó lesz valamire” alapon gyűjtse be a felhasználók adatait.

A jogalap meghatározása kötöttebb műfaj, ehhez a GDPR felkínál lehetőségeket, amikből az adatkezelőknek választania kell – legyen szó sima vagy különleges személyes adatokról. A teljesség igénye nélkül a GDPR 6. cikke alapján ilyen például az, hogy

• az érintett hozzájárult a személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítésére érvényes;
• az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Szintén fontos kikötés, hogy a GDPR hatálya alá tartozó személyesadat-kezelés nem lehet meglepetésszerű az érintettek számára. Ezekből a tájékoztatókból – amiket, lássuk be, az emberek túlnyomó többsége soha nem olvas el – az is kiderül, hogy mire használják fel, valamint kinek adhatják tovább a begyűjtött adatainkat.

„Harmadik országba való személyesadat-továbbítás esetén rendkívül szigorú pluszszabályok alkalmazása is szóba jön, de a jelenleg épp hatályban lévő EU–USA Adatvédelmi Keretrendszer az Amerikai Egyesült Államok irányába például meglehetősen egyszerűen és széles körben teszi lehetővé a személyes adatok továbbítását”

– mondta Ducsay.

Van azonban egy apró bökkenő. Adottak a GDPR alapelvei, amik minden esetben érvényesek. A szakértő szerint azonban, ha az a jogalap, hogy az érintett hozzájárult az adatai begyűjtéséhez és kezeléséhez, akkor egy jól kidolgozott adatkezelési tájékoztatóval az adatkezelési cél akár az alapelvek határait is feszegetheti, hiszen rá lehet mutatni arra, hogy az érintett, azaz a felhasználó hozzájárult az extrább adatkezeléshez (például a helyadatok továbbításához), ami hozzátartozik az önrendelkezési jogához.

Az adatkezelések általában ezen a hozzájáruláson alapszanak, annak ellenére, hogy az érintettek közül szinte, vagy talán megkockáztatható, hogy senki nem olvassa el minden egyes meglátogatott oldal, megnyitott szoftver adatkezelési tájékoztatóját, így nem feltétlenül tudja, hogy mihez is járul hozzá. Persze például a helyadatokhoz való hozzáférés korlátozható magán az eszközön, még a hozzájárulás megadása előtt. Arról nem is beszélve, hogy a tájékoztatók nyelvezete sokakban azt az érzést keltheti, hogy nemhogy olvasóbarát, hanem olvasóellenes volt, aki írta, hiszen tele van olyan szófordulatokkal, kifejezésekkel, amik teljesen idegenek egy hétköznapi nyelvhasználó számára.

„Nyilvánvaló, hogy a személyesadat-kezeléshez való hozzájárulás önkéntessége, konkrét és tájékoztatáson alapuló jellege nagyon sok tárgybeli esetben vitatható, de ez a vitatás nagyon könnyen az érintett önrendelkezési jogának megkérdőjelezéséhez is vezethet, ami szintén nem feltétlenül megengedhető cselekvőképes személyek esetében még akkor sem, ha az érintett vitathatatlanul felelőtlenül és önveszélyesen cselekedett a személyes adatainak kezeléséhez való hozzájárulás megadása során” – mutatott rá a szakértő.

Ducsay Zsuzsanna szerint nem vitatható, hogy sok cég „elítélhető viselkedésformát tanúsít” az egyénnel szemben a személyes adataik megszerzése érdekében, de hozzátette, hogy az elítélendő viselkedésformák rögzítése a jogalkotók feladata, ezt a GDPR és a piaci szereplők önkorlátozásába vetett vak bizalom „nem tudják pótolni további közösségiszektor-specifikus és preventív – nem utólagos, szankciós jellegű – szerepvállalás nélkül.

Ilyen szabályozás hiányában a felhasználó hozzájárulásán alapuló adatkezelési jogalap alkalmazása és az, hogy az érintettek többsége lényegében bármihez hozzájárul annak érdekében, hogy az új okostelefonja vagy egy új alkalmazás minél hamarabb elinduljon, vagy – miközben egyébként adott a lehetősége annak, hogy hozzájárulását akár úgy adja meg, hogy az nem terjed ki a helyadatainak kezelésére – megteremtheti egy igen szabados adatkezelés lehetőségét”

– zárta Ducsay Zsuzsanna. Mindehhez hozzátartozik, hogy sok esetben nem is titkoltan történik ez, hanem az érintettek által szabadon hozzáférhető adatkezelési tájékoztatóban ez mind le van írva, gyakran utalva is arra, hogy az eszköz beállításaival a gyűjtött adatok befolyásolhatók.

Az eset kapcsán megkerestük a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is, hogy megtudjuk,

• mit szól a hatóság ahhoz, hogy az Egyesült Államokban így használják fel a mobilazonosítókat;
• érdemes-e a magyar felhasználóknak tartaniuk hasonló adathasználattól;
• ha nem miért nem, és ha igen, akkor várható-e változás ezen a téren.

Dr. Péterfalvi Attila, a NAIH elnöke válaszában ezt írta:

„Ezúton tájékoztatom Önt, hogy az esettel kapcsolatban a Hatóság nyilvántartásában nem szerepel mobilos reklámazonosítókkal kapcsolatos panasz / megkeresés”,

hozzátéve, hogy a NAIH általános válaszokkal nem tud szolgálni, mert „a Hatóság egy konkrét ügy felmerülése esetén az adott ügy egyedi sajátosságait is figyelembe véve alakítja majd ki az adott ügyben érvényes álláspontját”.

Az Egyesült Államokban, ha állami törvény nem szabályozza, akkor egy átlagember adatait a Babel Street simán begyűjtheti és árusíthatja ilyen formában. Az EU-n belül azonban mindenkit véd a GDPR, tehát ha egy, az Unióban tartózkodó felhasználó helyadatai kerülnek át egy, a Babel Streethez hasonló céghez, akkor arról elvileg tájékoztatni kell a felhasználót. EU-s állampolgárokkal nem történhet olyan, mint a New Jersey-i rendőrökkel. Legalábbis elvileg, papíron.

Jogi korláton túl azonban semmiféle gátról nincs szó. Az Atlas Data Privacy pont azzal vádolja a Babel Streetet, hogy egy hatályos jogszabály ellenére gyűjtötték be rendőrök adatait. Ha kiderül, hogy ez igaz, akkor elképzelhető, hogy nem ez az egyetlen cég, amelyik nem veszi figyelembe saját országa vagy egy másik kontinens törvényi előírásait – főleg, miután elképesztő mennyiségű pénzt keres a nyomkövetős rendszerével, amihez szükségük van a helyadatokra.

A Bayerische Rundfunk (BR), a bajorországi köztévé és a Netzpolitik.org közös kutatásuk során kiderítették, hogy így szerzett adatokkal akár titkosszolgálati, minisztériumi alkalmazottat is nyomon tudtak követni, és az otthonukat is könnyen megtalálták. Tehát hiába van GDPR, Európában is vannak a Babel Streethez hasonló adatbrókerek. Ha valakit érdekel az eset, itt megtalálja a BR-en megjelent cikket.

Tehát egy fokkal talán bonyolultabb, de nincs kizárva, hogy egyes cégek az EU-s állampolgárok mobilos reklámazonosítójából szerzett helyadatokat hasonlóan használják fel, mint a Babel Street. Épp ezért érdemes átnézni, hogy miket pipálunk ki netezés, mobilozás közben, ha már szinte lehetetlen elvárás, hogy a száraz, olvashatatlan adatvédelmi tájékoztatók ezrein rágjuk át magunkat.