פייסבוק, לינקדאין ומועדון האוסרים טענו כי זבל של נתוני המשתמשים שלהם זֶה לאחרונה הופיעבפורומים באינטרנט הם לא עניין גדול. הסיבה לכך היא שבכל מקרה, המידע "נשרט" מפרופילי משתמש הניתנים לצפייה בפומבי ולא נגנב בפריצה.

כמה מקצוענים ועיתונאים בתחום אבטחת הסייבר הסכימו, פרסום ברשתות החברתיות שלמשתמשים לא היה מה לדאוג מכיוון שמועדונית, פייסבוק ולינקדאין מעולם לא התכוונו להגן על הנתונים כפרטיים מלכתחילה. מבחינתם, מכיוון שאף מערכת מחשב לא נפרצה, לא התרחשה הפרת נתונים.

  • מה לעשות לאחר הפרת נתונים: מדריך שלב אחר שלב
  • איך מונעים מפייסבוק לשתף את הנתונים שלך

זהו טיעון לא שלם. לא כל הפרות הנתונים כוללות פריצה, והרבה פגיעה יכולה להיעשות במידע שחברות מכריחות את המשתמשים לשתף בפרופילים ציבוריים.

בין אם הנתונים נגנבו, הודלפו או נשרטו, התוצאה עבור הצרכנים היא זהה - פרטיותם הופרה על ידי חברה שהם חשבו שהם יכולים לסמוך עליהם.

זה לא צריך להיות הפרה כדי לפגוע בפרטיות שלך

המציאות היא שהפרות פרטיות יכולות לקרות ללא הפרת אבטחה. שוחחתי עם מומחי פרטיות שהצביעו על מידה משמעותית של דאגה מהאירועים האחרונים.

לורדס טורצ'ה, מייסד יוזמת The Rise of Privacy Tech ופרופסור משנה למשפטים באוניברסיטת סנטה קלרה בקליפורניה, הזהיר כי בעוד הפרות פרטיות ואבטחה חופפות לעתים, אירועי פרטיות מכסים יותר הפרות מאשר פריצה מסורתית אירועים. (הצהרת אחריות: סופר זה הוא יועץ לעליית הפרטיות טק.)

"אירועי פרטיות כוללים גם שימוש לא חוקי ועיבוד נתונים אישיים בכל נקודה שהיא לאורך כל מחזור חיי הנתונים, החל מאיסוף ועיבוד וכלה באחסון ומחיקה, " אמרה טורצ'ה.

"יתר על כן, חוקי הגנת נתונים כמו התקנה הכללית של אירופה להגנת נתונים (GDPR) אינם שוללים נתונים אישיים זמינים לציבור מהגנה על פרטיות," הוסיפה. '' כיחידים אנו לא מאבדים את זכויות הפרטיות שלנו רק בגלל שהנתונים האישיים שלנו זמינים באתר ציבורי. '' 

למעשה, ה הוועדה האירית להגנת נתונים ביום רביעי (14 באפריל) פתח בחקירה, המבוססת על GDPR, על פשרה של 533 מיליון חשבונות פייסבוק בשבוע שעבר.

האם החברות היו יכולות לעשות יותר כדי לעצור את זה?

מייק ג'ונס, מנהל הפרטיות הראשי בסוכנות התעסוקה רנדסטאד ארה"ב, אמר שמחסור זה יכול להיות תוצאה של אבטחה ברשת אנשי מקצוע שחושבים על הגנה על מערכות במקום על אנשים ועל חברות שמתמקדות בתאימות חוקית במקום למשתמש הֲגָנָה.

"אם המחויבות שלך לפרטיות מתחילה ומסתיימת בציות חוקי, בעוד צוותי אבטחה ברשת מתמקדים רק במערכות," אמר ג'ונס, "אתה משאיר חור גדול בהגנה על הצרכנים."

ג'ונס סבור כי מועדון היה צריך לעשות יותר כדי למנוע גירוד אוטומטי מהיר של פרופילי המשתמשים שלו. (פייסבוק ולינקדאין אפשרו גם קצירת נתונים מסוג זה).

"יש הבדל גדול בין אדם אחד שניגש לנתונים אחת לכמה שניות על ידי חיפוש פרופילים בודדים את האפליקציה, ואדם אחד שניגש במהירות לנתוני הפרופיל של כולם דרך ממשק API [ממשק תוכנית יישומים], "הוא אמר. "העובדה שבית המועדונים העמיד לרשותה זמינה זו בעיה ענקית." 

פגיעות בפרטיות הן הפרות של החוק

קיים ספק רציני בקרב אנשי מקצוע בתחום הפרטיות האם מועדון האוס עונה על הדרישות הרגולטוריות לפרטיות, במיוחד באירופה שבה שימוש לרעה בנתונים נחשב כחוק להפרת נתונים.

"על פי GDPR וחוקים אחרים להגנת נתונים השואלים ממנה, מועדון האוס מחויב לבנות את התשתית שלהם, מוצרים ושירותים עם שיקולים לפרטיות הפרט ", אמרה דברה פרבר, מומחית לפרטיות המייעצת לטכנולוגיה סטארט-אפים.

"במקום זאת, Clubhouse יצר נזקי פרטיות באמצעות טכניקות פריצה לצמיחה אגרסיביות חסרות הרשאות נדרשות לעיבוד נתונים אישיים, א בסיס חוקי לאיסופם, והיכולת של הצרכנים לגשת, למחוק, לתקן או להעביר את הנתונים האישיים שלהם או למשוך את הסכמתם. "

החברה עומדת בפני חקירות מרובות של הרגולטורים האירופיים בגין הפרות אפשריות של חוקים להגנת נתונים. בארצות הברית, Clubhouse לא מסרה עותקים של הנתונים שלהם לצרכנים שביקשו זאת, כנדרש בחוק פרטיות הצרכן בקליפורניה.

משתמשים כושלים לפי עיצוב

יועץ הפרטיות בבריטניה, קרל גוטליב, אומר כי מדידת אירועים של שימוש לרעה בנתונים על ידי הפרת אבטחה מבחינה טכנית מפספסת את העניין.

"עלינו להסתכל עליהם כעל פרטיות על ידי כשלים בתכנון," אמר גוטליב. "השוואה בין אירועים כאלה לאקוויפקס" - 2017 גניבת נתונים של Equifax שפגע במידע האישי של 155 מיליון איש - "גורם לנו להתמקד בדברים הלא נכונים, כמו לראות הכל ככשל אבטחה, ולא כשל תכנון פונקציונלי.

"ככל שאנו מתייגים את הכל כאירוע ביטחוני", אמר גוטליב, "כך פחות סביר שנראה מישהו שיישא באחריות לפרטיותו בגלל כשלים בתכנון."

זה לא יכול להימשך לנצח

טיפול מרושל כזה בנתוני משתמשים עשוי בקרוב להיות נחלת העבר, ציין Turrecha.

"העלייה בציפיות הרגולטוריות והפרטיות של הצרכנים מסמנת את עלייתם של חידושים טכניים בתחום הפרטיות ואת תחילת הסוף עבור טכנולוגיות ומודלים עסקיים פולשניים לפרטיות ", אמרה," במיוחד בקנה מידה איתם הם התרבו וסבלו בסביבה עבר."

ב הַצהָרָה מוקדם יותר השנה בנוגע להפרות פרטיות שהתקיימה בתקופת פלור ובאפליקציית מעקב הביוץ, הסחר הפדרלי האמריקני הוועדה (FTC) הבהירה כי היא רואה בפגיעה בנתונים הפרה גם כשאין פריצה טכנית מְעוּרָב.

ה- FTC ציין כמה יתרונות של הודעה למשתמשים על אירועים מסוג זה, דבר ש- Facebook, LinkedIn ו- Clubhouse לא הצליחו לעשות.

"הצרכנים ראויים לדעת מתי חברה הבטיחה הבטחות פרטיות כוזבות, כדי שתוכלו לשנות את השימוש בהן או להחליף שירותים", נכתב בהצהרת FTC.

"ההודעה גם מודיעה כיצד צרכנים בודקים שירות, והאם הם ימליצו עליו לאחרים. לבסוף, שים לב שמספק לצרכנים את הכבוד לדעת מה קרה. "

כחברה החלטנו כי החוק אינו צריך לסבול ממודלים עסקיים מסוימים ושיטות עבודה, כולל סחר בבני אדם, תוכניות פונזי ופרסום כוזב. מתאים לנו לחלוטין לדרוש כבוד ואחריות רבה יותר מכל חברה שאוספת או משתמשת במידע האישי שלנו.

אנו עשויים לגלות שככל שפרטיות וזכויות נתונים מתרחבות ברחבי העולם, אסטרטגיות עסקיות מסוימות פשוט לא יהיו תואמות לסוג ההגנות שאנו רוצים לעצמנו וליקירינו.