В края на април, по време на годишната конференция 2019 F8 developers’ conference, Марк Зукърбърг сякаш си беше поставил за цел не просто да въведе в новата глава от политиката на компанията си – “Тhe future is private” (Бъдещето е лично/поверително), но и да започне изказването си като максимално бързо използва думата “поверителност”.
“Разбирам, че много хора не са сигурни, че сме сериозни относно това. Знам, че в момента ние нямаме най-добрата възможна репутация относно темата за поверителност, меко казано.”- каза той.
Меко, indeed…
Пророчески оправдателно начало, предвид разкритията от последните няколко дни спрямо пропуските в политиката за сигурност на платформата Instagram, собственост на Facebook. Според Business Insider, небрежност в достъпа до поверителни данни на социалката е причина маркетинг компания базирана в Сан Франциско (“HYP3R”) да борави с информация за местоположението на милиони Instagram потребители с публично достъпни профили. В противоречие с политиката на приложението. Именно след намесата на Business Insider последва и реакция от страна на екипа, на Зукърбърг.
HYP3R е маркетинг платформа, работеща насочено спрямо конкретната локация на потребителски профили в социалката. ‘A location-based marketing platform’. Основана е през 2015-та година, описвайки услугите си като: “в помощ на бизнеса посредством усвояване на гео-социални данни с цел придобиване и ангажиране на повече високостойностни клиенти.”
С други думи, HYP3R е маркетинг компания, която следи постове в социалките с тагове на локации, след което дава възможност на клиентите си директно да взаимодействат с тези постове, посредством предоставени от тях инструменти и потребители, получаващи съответни предложения и реклами. С други думи, ако някой посети хотел и публикува пост, отбелязвайки локацията си, е напълно възможно да бъде таргитиран след това с предложения, от например, конкурентен хотел в района. Сред клиентите им са PepsiCo, Hard Rock International, Marriott International и т.н.
За да предоставя подобни възможности, HYP3R е нарушила правилата за използване на Instagram в няколко направления:
Възползва се от пропуска в сигурността на социалката, позволяващ достъп до информация свързана с локализиране или тагване на публични постове.
В тези локации те систематично запазват Insta-сторита на потребителите, в разрез с правилата на компанията и убеждението ни, че въпросните сторита “живеят” едва 24 часа.
Възползва се и от публичните профили, събирайки информация като биография на потребители и последователи, които след това комбинира с локацията и информация от други източници.
Използват също така и софтуер за разпознаване на детайли от снимки в постове за автоматични анализи на изображенията.
Потребители със статус “private” не са засегнати.
Преди случая HYP3R е била посочена официално като един от “предпочитаните маркетинг партньори” на Instagram. Последните, предположенията са, че по скоро от небрежност, са оставили база данни достъпни посредством javascript packagе, с информация от публични профили. И това дори след Cambridge Analytica case.
Instagram inadvertently provided an easy way for HYP3R to harvest users’ data by leaving a publicly accessible javascript package containing data on all public pages, even after it locked down its platform following Cambridge Analytica. It’s now making multiple changes. pic.twitter.com/ZgnBqf3BRk
— Rob Price (@robaeprice) August 7, 2019
След намесата на Business Insider, от официално съобщение на социалката става ясно, че HYP3R не е санкционирана, но премахната от платформата.
Общият обем данни използвани от HYP3R не е ясен, въпреки че публично са го описали като “уникален набор от стотици милиони представители на най-високостойностните потребители в света”. Според източници (,межу които бивши служители на HYP3R) 90% от този обем данни е достъпен посредством Instagram и със сигурност става въпрос за над 1 милион Insta-поста на месец.
HYP3R не е единствената компания предлагащи подобни услуги и Instagram не е единствената платформа станала жертва на подобни набези. Така или иначе случаят поставя на масата съществени въпроси относно сигурността под шапката на Facebook. The future is privetely serving the marketing needs…
Според бивш служител на HYP3R: “За тях [Instagram] да оставят подобни крайни точки отворени и достъпни, сякаш през задния вход, е доста двулично.” Оказва, че “скриването” им е лесен процес за работещите в сферата, но “Защо не са го направили, остава мистерия.”
HYP3R отричат да са нарушавали правилата на платформата, по простата причина, че достъпът до тази информация, по този начин е напълно легитимен и оправдан. Карлос Гарсия, Изпълнителният директор на HYP3R твърди в свое изявление:
“Ние нямаме отношение към каквото и да е съдържание или информация, които не са достъпни публично от всички онлайн.”
Промените в API (Аpplication Рrogramming Interface или интерфейс, позволяващ на девелъпъри да изграждат услуги, които да взаимодействат с Instagram) на социалката, последвали от скандала с Cambridge Analytica, бяха публично подкрепени от HYP3R с думите “разбираме и приветстваме промените, които Facebook прави да за защити поверителността на всички нас”. Но, година след ограничeнията свързани с функциите, показващи локация на потребители, Instagram все още е предлагала лесен начин за използване на данните, без отчетност. Не е ясно дали те са засичали или не това нарушение. В отговор обаче, направиха промени, ограничавайки видимостта до публични локации и са премахнали достъпа на HYP3R до API, след като вече не си партнират.
Instagram не коментират все още дали ще информират всички засегнати потребители или ще поискат HYP3R официално да потвърдят изтриването на събраните данни.