Kolejny wielki przeciek na Facebooku

Kolejny wyciek danych na Facebooku mógł ujawnić poufne i osobiste informacje dotyczące nawet 3 milionów użytkowników - ujawnia na swoim portalu internetowym czasopismo "New Scientist". Śledztwo przeprowadzone przez dziennikarzy tego tygodnika wskazuje, że dane zbierane przez jedną z aplikacji do badań psychologicznych, nie były właściwie zabezpieczone i mogły trafić w niepowołane ręce.

Wyciek danych na Facebooku mógł ujawnić informacje dotyczące nawet 3 milionów użytkowników
Wyciek danych na Facebooku mógł ujawnić informacje dotyczące nawet 3 milionów użytkownikówmateriały prasowe

Sprawa dotyczy popularnej aplikacji myPersonality, której dane po anonimizacji miały być dostępne tylko dla naukowców i niektórych firm. Dane zbierane z pomocą aplikacji, służącej między innymi do badań psychologicznych, były udostępniane naukowcom za pomocą strony internetowej, której zabezpieczenia okazały się niewystarczające. Przez cztery lata nielegalne zdobycie tych danych było względnie proste.

Dystrybucją zbieranych danych do setek naukowców zajmowali się badacze z University of Cambridge, David Stillwell i Michał Kosiński z Psychometrics Centre. W projekcie do 2014 roku uczestniczył też Alexandr Kogan wiązany ostatnio z kontrowersjami dotyczącymi Cambridge Analytica. Poufne informacje miały być zbierane i udostępniane anonimowo, zabezpieczenie okazały się jednak na tyle niedoskonałe, że możliwe było przypisanie ich do konkretnych osób. Ponieważ dane zawierały między innymi wyniki testów psychologicznych, potencjał do nadużyć był duży.

Facebook wykluczył myPersonality ze swej platformy 7 kwietnia twierdząc, że aplikacja naruszała jego standardy ze względu na język użyty do opisu procedur udostępniania danych. Wcześniej około 6 milionów użytkowników Facebooka wypełniło ankiety psychologiczne i około połowy z nich zgodziło się na to, by do aplikacji trafiały dane z ich profili. Zasady korzystania z aplikacji głosiły wprost, że dane będą udostępniane w taki sposób, że nie będzie można powiązać ich z konkretnym użytkownikiem.

"New Scientist" ujawnia, że po to, by zdobyć dostęp do danych, trzeba było się zarejestrować jako współpracownik projektu. W sumie zrobiło to ponad 280 osób z blisko 150 instytucji, między innymi instytucji badawczych, czy firm takich jak np. Facebook, Google, Microsoft i Yahoo. Przez 4 lata do danych można się było jednak dostać także z pomocą aktywnej nazwy użytkownika i hasła, dostępnych w internecie. Ta możliwość dostępu nie była nielegalna, wykładowca mógł ujawnić ją na przykład swoim, przygotowującym jakąś pracę, studentom. Szybko mogły ją wyszukać jednak także osoby niepowołane.

Problem polegał na tym, że każdy z użytkowników aplikacji dostawał swoje ID łączące wyniki testu psychologicznego z takimi danymi, jak między innymi wiek, płeć, czy status. Tak duża ilość powiązanych danych sprawiała, że osoby te można było stosunkowo łatwo, z użyciem programów komputerowych, identyfikować. Jak się ocenia, w ten sposób mogły wyciec profile psychologiczne nawet 3,1 miliona konkretnych użytkowników.

W odpowiedzi na pytania dziennikarzy "New Scientist", Stillwell oświadczył, że w ciągu 9 lat trwania projektu doszło tylko do jednego naruszenia bezpieczeństwa danych, a naukowcy korzystający z nich  zobowiązywali się nie identyfikować użytkowników. Podkreślił też, że Facebook znał szczegóły projektu co najmniej od 2011 roku. "To dziwne, że Facebook nagle twierdzi, że nie zdawał sobie sprawy z badań prowadzonych z pomocą myPersonality i utrzymuje, że użytkowanie tych danych było sprzeczne z ich polityką prywatności" - dodaje Stillwell.

Dochodzenia prowadzone przez Facebook i Information Commissioner’s Office zmierzają do ustalenia kto miał dostęp do danych z myPersonality i do czego te dane zostały ostatecznie wykorzystane, ale biorąc pod uwagę, jak wiele osób mogło wejść w ich posiadanie, ostateczna ocena będzie tylko przybliżeniem. Facebook tymczasem ogłosił zawieszenie w związku z postępowaniem w tej sprawie kolejnych 200 aplikacji, które miały dostęp do dużej ilości danych użytkowników.

Grzegorz Jasiński

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas