על היסטריית הפרטיות ושיתוף מידע, או- למה מרגלים אחרינו 'רוב הזמן'
מרגלים אחריכם באינטרנט! כמה פעמים קראתם את הכותרת הזאת בחודשים האחרונים? כולללללם מרגלים אחריכם - גוגל, פייסבוק, חברות הפרסום, הממשלה, אפילו המוכר מהקיוסק בפינה. רק לפני מספר ימים נודע שמשרד ההגירה האמריקאי משתמש במידע בפייסבוק על מנת לחפש עבור מהגרים לא חוקיים וסרטון יוטיוב מבית Consumer Watchdog הראה כיצד מנכ"ל גוגל מוכר גלידה לילדי השכונה ויודע עליהם הכל. פייסבוק מוכרת את כל המידע שלכם למפרסמים וגוגל גונבת סיסמאות מרשתות Wi-Fi לא מאובטחות בעזרת רכבי ה-StreetView שלה. פאניקה!
אין, פשוט אין, נושא אהוב יותר על העיתונות הטכנולוגית בחודשים האחרונים מאשר נושא הפרטיות. לעיתים מסעות הצלב של התקשורת מוצדקים ומבורכים - כמו למשל הצעקה שקמה בעקבות תוכנית ה-Instant Personalization של פייסבוק או הביקורת הנוקבת על צוקרברג ועל ההצהרותיו על "מות הפרטיות". הן סייעו לציבור המשתמשים הממוצע להבין את חשיבות הזהירות בשיתוף מידע, הגדרות הפרטיות ובחירת החברים ברשימת אנשי הקשר.
אבל לעיתים קרובות הביקורת מוגזמת ולא פרופורציונלית. לפני מספר שעות התפרסמה בג'ורנל כתבה על שערוריית פרטיות חדשה - חשיפת המספרים האישיים המייצגים את המשתמשים בפייסבוק למפרסמים. "פריצה אבטחה בפייסבוק" זעקה הכותרת הראשית במהדורת הערב, "אפליקציות מובילות מוכרות את הפרטים האישיים של משתמשי פייסבוק".
הכצעקתה? או האם ג'ורנל ניפח את התופעה מכל פרופורציה?
התשובה צריכה להיות ברורה - כן, מדובר בבלון נפוח. גם לא מדובר במחקר ארוך ויסודי שנמשך עד אישון לילה.
זאת לא הפעם הראשונה שג'ורנל עושה את ה"טריק" הזה. לפני מספר חודשים העיתון פרסם סדרת כתבות על איסוף המידע השיטטי המתבצע על ידי פלטפורמות הפרסום השונות ברחבי האינטרנט על מנת שיוכלו להציע להם פרסומות ממוקדות - תופעה ידועה ומוכרת היטב שגם נופחה לממדי שערורייה.
האם סדרת הכתבות חשפה מידע חדש? לא. האם ג'ורנל כתב בעבר, בצורה משבחת ואוהדת, על עשרות פלטפורמות חדשות עם טכנולוגיה להתאמת הפרסומות והתוכן לגולש? כן. האם הוא הגדיר אותם כחלק חיוני בתעשיית האינטרנט וכלי לשיפור חווית המשתמש על ידי הצגת פרסומות המעניינות אותו? כן. איך בדיוק כל הטכנולוגיות הנפלאות והחדשניות האלו עושות זאת? אה, נכון. על ידי איסוף מידע על המשתמש. צביעות? או, בהחלט. אבל עושה כותרות.
אין ב"מספר האישי" של המשתמש בפייסבוק דבר וחצי דבר. זהו בסך הכל המספר המוצב לכם שאתם נרשמים לרשת החברתית. כל משתמש מהשורה יכול לצפות בפרופיל רנדומלי על ידי הכנסת מספר כלשהו. כל מתכנת יכול בקלות ליצור אגרגטור שיאנדקס את כל הפרופילים בסדרת מספרים עוקבים ויצור מאגר מידע עם כל המידע הפומבי בהם. רק לפני מספר חודשים התפרסם מקרה על "האקר" שמכר "מאגר מידע של מאות מיליוני משתמשים" שעשה בדיוק כך. האמת היא שכל המידע כבר שם, נגיש לכל אדם שירצה בכל רגע.
הבעיה היא לא להגיע לפרופיל כלשהו בפייסבוק - הם לא בדיוק סודיים ומנוע יצירת מספרי "תעודות הזהות" יוצר מספרים עוקבים. הבעיה היום היא גם לא למצוא פרופיל מסוים - כל מנוע חיפוש יציג לכם זאת. החוכמה היא לצפות במידע הפרטי של המשתמשים - וזה לא השתנה. אם אתם לא רוצים שמידע יהיה זמין, שנו את הגדרות האבטחה. אם אתם לא חברים של המשתמש, לא תראו שום דבר מהפרופיל שתכנסו אליו - ולא משנה איך עשיתם זאת. מצד המפתחות, זאת ב"חשיפה" שעליו מדברת ג'ורנל היא לא רק לא מסחרית ולא מכוונת, היא גם לא בעצם חושפת שום דבר. במקרה של Lolapps מדובר בשבירת נהלים בדרך שיתוף המספרים ושמירת המידע (ככל הנראה) אבל לא במכירת מידע המשתמשים.
אל תבינו אותי לא נכון. זהו עדיין מחדל מצד מפתחות האפליקציות. זליגת מספרים אישיים לכתובות URL אינה דבר חדש - למען האמת, מדובר בחור אבטחה ישן ומוכר היטב שקיים עוד הרבה לפני השקת פייסבוק. ללא ספק, זה משהו שכל איש אבטחה בחברות השונות היה צריך לעלות עליו קודם. חורי אבטחה כאלו קיימים כבר עשרות שנים בכל מערכת ממוחשבת גדולה - פורומים, מערכות חיוב, חנויות אלקטרוניות, תוכנות ניהול משרדיות ועוד - כל מערכת העוסקת במאות, אלפי ומיליוני משתמשים. כולן שולחות הודעות, מיילים והפניות הכוללים לעיתים קרובות גם מספרים מזהים בתוך שורת ההפניה.
רוב המתכנתים כבר למדו לנקות באופן אוטומטי את המספרים ב-parsing ואין שום סיבה בעולם שמפתחת ענקית כמו זינגה לא תשכיל לעשות זאת בעצמה. לעיתים חשיבות ה-parsing היא אפילו יותר קריטית - לפני מספר חודשים, הרשת החברתית בליפי גם חשפה מספר כרטיסי אשראי שהופיעו בשוגג בתוך ה-URL. כעת תורם של מפתחי האפליקציות בפייסבוק ללמוד שיש לנקות את המידע גם כן.
אבל להפוך זאת לשערוריית פרטיות וסערה על "מכירת מידע אישי למפרסמים"? הגזמתם.
הראל עילם הוא עורך
