Zbieranie používateľských dát z aplikácií v smartfónoch prostredníctvom marketingových identifikátorov (AID) nie je vo svete žiadnou novinkou. Problém však nastáva, keď sa tieto údaje nelegálnou cestou dostanú do rúk vládnych orgánov alebo v horšom prípade spoločnostiam, ktoré nemajú príliš čisté úmysly.

Aktualizácia 12.12.2020:

Únik používateľských dát Sygicu, ktoré sa z jej mobilnej aplikácie dostali až do americkej spoločnosti Venntel, začal najnovšie vyšetrovať aj slovenský Úrad pre ochranu osobných údajov. Na Twitteri na to upozornil nórsky redaktor Martin Gundersen, ktorý prípad otvoril svojou reportážou začiatkom decembra. Podľa Gundersenových informácií začali slovenské úrady vyšetrovanie kvôli „novým informáciám, ktoré sa javia ako znepokojujúce“.

Spoločnosť Sygic pre Gundersena zároveň uviedla, že počas prebiehajúceho vyšetrovania prípadu v USA sa rozhodla dočasne prerušiť partnerské vzťahy so spoločnosťami Complementics a Predicio, cez ktoré údaje prechádzali.

Obe spoločnosti majú so Sygicom zmluvu o poskytovaní používateľských dát pre marketingové účely, pričom s Complementics má slovenská firma platný kontrakt do 31. decembra tohto roka a u Predicio platí zmluva až do 14. februára 2021.

Pôvodný článok:

Problémom s únikom údajov sa v rozsiahlom experimente venoval redaktor nórskeho portálu NRKbeta Martin Gundersen, ktorý zistil, že sa dáta o jeho polohe dostali do rúk americkým úradom. Pochádzali pritom z aplikácií, ktoré patria pod slovenský Sygic.

Prípady zneužitia dát zbieraných populárnymi aplikáciami v našich smartfónoch nie sú ničím výnimočným a ich počet stále pribúda. Tento problém sa samozrejme netýka len operačného systému Android, ktorý je všeobecne považovaný za „otvorenejší“, no aj iOS, ktoré si vždy aspoň navonok stálo za súkromím a bezpečím svojich používateľov.

Americké firmy dodávajú štátnym orgánom údaje

Otázka, či sa tieto údaje naozaj vždy používajú „iba na reklamy“, je tak už dávno za nami. Nedávna správa portálu Vice odhalila, že dáta o polohe používateľov nakupuje napríklad aj americká armáda a úrady, ktoré ich v mnohých prípadoch využívajú na odhalenie aktivity zločincov. Úrady tak vedia získať prístup k informáciám o mieste pobytu osoby aj bez povolenia súdu.

Veľmi známym je odkrytý prípad z roku 2018, kedy vďaka „komerčným dátam“ získaným americkým Úradom pre imigráciu a clá (ICE) zatkli majiteľa opusteného fast-foodu KFC v americkej Arizone, ktorý sa údajne podieľal na pašovaní drog z Mexika.

Spoločnosťou, ktorá informácie pre ICE dodávala, bola navonok neznáma analytická firma Venntel, ktorá získava údaje o používateľoch po celom svete a sídli v štáte Virgínia blízko ústredia amerických tajných služieb. 

Zobraziť celú galériu (3)

Unsplash

Získané dáta o polohe vedia byť až neuveriteľne presné

Gundersen sa teda rozhodol vykonať vlastný experiment, počas ktorého si do druhého smartfónu nainštaloval vo februári približne 160 aplikácií vrátane počasia či navigácie Sygic a nosil ho stále so sebou.

Po niekoľkých mesiacoch požiadal koncom augusta tohto roka spomínanú spoločnosť Venntel, aby mu odoslala kópiu všetkých informácií spojených s jeho AID, ktoré o ňom má. Právo na získanie takýchto informácií majú všetci obyvatelia Európskej únie na základe nariadení GDPR, ktoré vstúpili do platnosti v roku 2018.

Krátko na to ho právne oddelenie spoločnosti požiadalo, aby uviedol niekoľko adries, ktoré v poslednom čase navštívil, aby mohli skontrolovať či sa naozaj jedná o jeho AID a či sa nachádza v ich databáze. Gundersen im tak poskytol adresu svojej práce a bytu v nórskom Osle.

O mesiac neskôr sa redaktorovi v e-mailovej schránke zjavila správa od spoločnosti s prílohou, ktorá obsahovala 75 406 lokácií, na ktorých sa Gundersen v posledných mesiacoch nachádzal. Napriek tomu, že údaje nezahŕňali žiadne telefónne čísla či mená, bolo veľmi jednoduché zistiť, že sa jedná práve o jeho osobu.

Zobraziť celú galériu (3)

Spoločnosť nazbierala až 75 406 lokácií, na ktorých sa Gundersen v posledných mesiacoch nachádzal / Zdroj: Harald K. Jansson/Norge i bilder

Venntel ho v správe tiež informoval o tom, že zdieľal tieto informácie so svojimi klientmi, ktorý ich môžu použiť na bezpečnostné účely na národnej úrovni. Údaje získal od svojej materskej spoločnosti Gravy Analytics, ktorá je veľkým sprostredkovateľom dát spojených s AID.

Po kontaktovaní tejto spoločnosti Gundersen zistil, že firma poväčšine ani nevie, z akých aplikácií údaje pochádzajú, pretože ich zbiera z ďalších menších analytických hráčov, ako napríklad spoločnosti Predicio či Complementics.

Časť aplikácií, ktoré sa mu podarilo odhaliť a ktoré údaje zasielajú, však pochádza od slovenskej spoločnosti Sygic, ktorá má priamo pod sebou aplikácie Sygic GPS Navigation, Sygic Truck, Sygic Travel Sygic a Fuelio. Jej navigáciu pritom používa viac než 200 miliónov používateľov.

Zobraziť celú galériu (3)

Sygic

Sme v tom nevinne, tvrdí Sygic. Na americkú spoločnosť väzby nemá

Pri inštalovaní navigácie Sygic pritom Gundersen súhlasil s podmienkami zbierania dát prostredníctvom AID, ktoré však mali byť využívané iba na marketingové účely. Spoločnosť Gravy Analytics pritom priamo vo svojich zásadách ochrany osobných údajov uvádza, že tieto údaje môže použiť aj na bezpečnostné účely.

Rovnaká situácia ako u Sygicu nastala aj pri aplikácii zobrazujúcej počasie s názvom The Fucking Weather. Jej hlavný vývojár Lawiusz Fras pritom v odpovedi na Gundersenove otázky ohľadom zbierania týchto dát uviedol, že firmu Venntel nepozná a používateľské údaje zdieľa iba s analytickými spoločnosťami pre reklamné účely. Gundersen zároveň získal aj vyjadrenie PR manažérky Sygicu, Zuzany Kačánovej.

„Spoločnosť Venntel nepoznáme. Na základe poskytnutých informácií nie je zrejmé, že zdrojom údajov, ktoré spoločnosť Venntel získala, je navigácia Sygic. V prípade, že sa pravdivosť ich zdroja preukáže, by sa jednalo o porušenie zmlúv, ktoré máme s príslušnými partnermi,“ uviedla pre NRKbeta Kačánová. 

Zobraziť celú galériu (3)

Údaje o Gundersenovej polohe boli až neuveriteľne presné / Zdroj: Zdroj: Harald K. Jansson/Norge i bilder

Podľa analýzy NRKbeta však majú informácie získané Venntelom niekoľko dôležitých prvkov, ktoré ukazujú, že pochádzajú priamo z aplikácie Sygicu. Napríklad samotné AID, ktoré sa nachádza v databáze spoločnosti Complementics s údajmi od Sygicu sa nachádza aj v dátach zaslaných spoločnosťou Venntel.

Redakcia FonTech.sk následne v súvislosti so zbieraním používateľských dát na Slovensku oslovila aj samotný Sygic.

„Žiadne dáta z aplikácií Sygic neunikli. Sygic spracúva osobné dáta len tých svojich používateľov, ktorí mu na to udelia dobrovoľný a kedykoľvek odvolateľný súhlas, a to výlučne na marketingové účely, prísne v súlade s GDPR. Potvrdením súhlasu s použitím osobných dát na marketingové účely zákazník umožňuje prispôsobiť reklamu pomocou partnerov tretích strán, uvedených v Podmienkach ochrany súkromia spoločnosti Sygic.“

„Každý z uvedených partnerov vystupuje ako samostatný prevádzkovateľ a je zmluvne viazaný spracúvať dáta len na marketingové účely. V prípade, že by ich partner chcel použiť na iné účely, môže tak urobiť vo vlastnom mene a na svoju vlastnú zodpovednosť, zároveň je však povinný rešpektovať všetky platné právne predpisy v oblasti GDPR, predovšetkým získať na dané účely súhlas dotknutých osôb,“ doplnila Kačánová pre FonTech.sk. 

PR manažérka Sygicu zároveň potvrdila, že Venntel ani Gravy Analytics nepatria medzi partnerov spoločnosti, a taktiež s nimi nikdy nezdieľali žiadne dáta.

„Nemáme k dispozícii osobné údaje, ktoré tieto firmy spracúvajú o pánovi Martinovi Gundersenovi, preto nevieme potvrdiť, že ich zdrojom sú naše aplikácie. V každom prípade, osobné dáta Martina Gundersena či ktoréhokoľvek používateľa navigácie Sygic týmto firmám spoločnosť Sygic neposkytla,“ uviedla pre redakciu FonTech.sk Kačánová. 

Získavanie všetkých informácií od uvedených analytických spoločností a úradov bolo pritom pre Gundersena veľmi zdĺhavé. Na otázky najprv nechcel odpovedať Venntel ani jeho materská spoločnosť Gravy Analytics. Venntel následne vo vyhlásení uviedol, že Gundersenove údaje neboli zdieľané so žiadnymi americkými úradmi a vyvrátil aj akúkoľvek spojitosť s vývojármi The Fucking Weather či spoločnosťou Sygic.

Neurčité vyhlásenia získal Gundersen aj od niektorých amerických úradov, ktoré síce uviedli, že majú k používateľským dátam spojeným s AID prístup v súlade s právnymi predpismi a s Venntelom spolupracujú, no neodpovedali na otázky ohľadom ich získavania z Európy či iných častí sveta mimo USA.