Dziś będzie krótko i zwięźle. Wpadła mi chwilę temu w oko informacja o „największej w historii karze w USA dla producenta, związanej z naruszeniem prywatności dzieci”. Przyciągnięty clickbaitowym tytułem kliknąłem rzecz jasna od razu. Jakiż był mój smutek, gdy okazało się, że właściciel aplikacji TikTok (a w zasadzie jej części, noszącej przed przejęciem nazwę Musical.ly) musi zapłacić po wyroku Federalnej Komisji Handlu… 5.7 mln dolarów za umożliwianie publikacji krótkich filmików nieletnim (tj. w wieku poniżej 13 lat) użytkownikom. Dodatkowo w TikTok muszą zostać wdrożone mechanizmy kontrolujące dzielenie się treścią przez nieletnich.

Kara jest żałośnie niska. Znając USA, spodziewałem co najmniej dziewięciocyfrowej „rekordowej” kwoty. Jednak fakt, iż  w ogóle zdarzenie miało miejsce, powinien nas (w sensie: rodziców) zdopingować do zastanowienia się nad tym, co robią w sieci nasze dzieci. Gdy dowiedziałem się, że mój dziesięciolatek w ubiegłym roku wrzucił właśnie do TikTok dwa filmy, najpierw włosy stanęły mi dęba, ale po chwili… uśmiechnąłem się i poprosiłem, żeby mi je pokazał. A potem? Cóż, potem po prostu porozmawialiśmy na temat tego, co można umieszczać w sieci, a czego za nic się nie powinno.

Nie bójmy się internetu, nie reagujmy na każdą taką sytuację, jak powyższa, negatywnymi emocjami, stresem, czy blokowaniem dziecku dostępu do wszystkiego, co się da. Przecież jak będzie chciało, to i tak wrzuci. A tak to pokaże, pochwali się, usłyszy od nas dobre słowo. A przede wszystkim nauczy się, czego nie powinno robić w sieci. I samo będzie dbać o swoją prywatność. Wszędzie korzyści 🙂

Czytając już chyba w każdym możliwym medium (zaczęła Zaufana Trzecia Strona) o tym, jak to w aplikacji Strava można łatwo znaleźć tajne wojskowe bazy na całym świecie, zacząłem się zastanawiać nad tym problemem od nieco innej strony. Mleko już się wylało, prywatność i tajemnice stały się fikcją, Strava udostępniła publicznie istotne dane, a ludzie są – jak zawsze – niefrasobliwi. Pora jednak zadać pytanie: czy da się coś z tym zrobić?

Prywatność? Panie, nie mam czasu na głupoty

Jasne, że się da! Co więcej – nawet nie wymaga to wielkiej pracy. Nieco z przekory w dniu, gdy wybuchła burza w szklance wody… zainstalowałem Stravę. Na pierwszą aktywność fizyczną jeszcze chwilę poczekam ;), tym niemniej pierwszym, co zrobiłem, było zajrzenie w ustawienia aplikacji. I co?

I jest tak, jak się spodziewałem. To nie kwestia „niedobrej firmy” tylko po raz kolejny leniwych użytkowników! Zdaję sobie sprawę z tego, że ja dzięki pracy w CERT Orange Polska jestem… hmmm, inny :), tym niemniej w świecie, gdzie prywatność coraz częściej widujemy w roli hasła w Słowniku Języka Polskiego, warto starać się hołubić jej resztki gdzie tylko się da. I od szukania dotyczących jej ustawień zaczynać konfigurację każdej nowej aplikacji. A jeśli ich nie ma, to może warto poszukać alternatywy?

Cienka czerwona linia

Nie będę pierwszy rzucać kamieniem, ja też mam w sobie nieco internetowego ekshibicjonisty, ale staram się nad tym panować. Twitterowi nie dałem dostępu do lokalizacji, w telefonach, wyłączam geotagowanie zdjęć, wrzucając fotkę na Instagram zaznaczam miejsce jej zrobienia tylko wtedy, gdy jest się czym pochwalić ;), dostęp do moich treningów na Endomondo mają tylko znajomi (a do tej grupy trafiają tylko ludzie, których faktycznie znam), zaś na Stravie stworzyłem już sobie „privacy zones”. Lans od ekshibicjonizmu dzieli tylko cienka czerwona linia, po której przekroczeniu pojawia się sporo elementów ryzyka: od zwykłych bandytów i stalkerów skończywszy, na przypadkowym zdradzeniu lokalizacji tajnej bazy skończywszy. Tak to jest, gdy prywatność zostaje na koniec.

Jeśli wydaje Wam się, że podobny tytuł widzieliście już kiedyś na naszym blogu, to macie rację. Gdy ponad dwa lata temu rozmawiałem z Pawłem Goleniem o iluzorycznej prywatności w sieci, przewidywaliśmy, że wszechobecność sieci coraz bardziej zbliża nas do sytuacji z wyobraźni Philipa K. Dicka, przeniesionej na kinowe ekrany przez Stevena Spielberga. Z tą różnicą, że wtedy nie mówiliśmy o Facebooku w roli centralnego komputera.

O roli FB i jego wpływie na życiu dzisiejszego społeczeństwa mogliby się wypowiadać – i nierzadko to robią – socjologowie i psychologowie społeczni. Dziennikarka Business Insidera spojrzała na to z zupełnie innej strony. Używając narzędzia, obserwującego, kto śledzi nasze zachowania w sieci, zaobserwowała w bardzo krótkim czasie…ponad 300 prób analizowania jej działania przez „ciasteczka” śledzące Facebooka. Skąd wzięło się ich aż tyle? Przyzwyczajeni do popularności „Wielkiego F” nie zauważamy już nawet obecności przycisków „Like”, czy „Share” na olbrzymiej liczbie witryn internetowych. Tymczasem, gdy np. po przyjściu do pracy zalogujemy się na Facebooka, wejście na stronę z „ciasteczkiem” od razu zostanie powiązane z naszym kontem! W efekcie mogą się zdarzać – i coraz częściej zdarzają – sytuacje takie jak ta, gdy kobieta dowiedziawszy się, że jest w ciąży, zajrzała na kilka poświęconych temu zagadnieniu witryn, by w efekcie niedługo później zostać uraczoną dedykowaną reklamą. Skąd wiedział o tym Facebook skoro nie powiedziała jeszcze nawet mężowi? Cóż – nic za darmo, to, że za coś nie płacimy, nie oznacza, że firma niczego od nas nie dostaje.

Uprzedzając Wasze pytania – na naszym blogu są trzy trackery, Facebooka i Google. Co ciekawe, na witrynie z opisywaną historią jest ich… 27! Na szczęście można im przeszkodzić – ja używam wtyczki Ghostery do Firefoxa, można też korzystać z opisywanego w artykule DNT+, na rynku jest też kilka innych, również darmowych rozwiązań. Tym niemniej ja jestem coraz bliższy decyzji, by w ogóle zrezygnować z Facebooka – choć tu akurat „permanentna inwigilacja”, cytując Maksymiliana Paradysa, jest tylko jedną z przyczyn.

Półtora roku temu w rozmowie z Pawłem Goleniem doszliśmy do wniosku, że w czasach cyber-świata trzeba przewartościować spojrzenie na pojęcie prywatności i raczej zamienić je na świadome udostępnianie informacji o sobie. To, co się dzieje, gdy „sprzedajemy” do sieci wszystko, co się da, pokazał bardzo obrazowo Herbert Thompson, adiunkt w Departamencie Nauk Komputerowych Uniwersytetu Kolumbia.

Otóż Thompson zaproponował kilku osobom, które ledwie znał, udział w eksperymencie. Poprosił ich o imię, informacje w jakim mieście mieszkają, gdzie pracują i ile mniej więcej mają lat oraz o nazwę banku i login do konta. Akurat tych informacji (może poza loginem do banku) nie ukrywamy i wiele osób, nawet nie znając nas blisko, może uzyskać do nich dostęp.

Potem przeszedł do działania:

● Wyszukał dane o ofierze – kobiecie o imieniu Kim – w Google, używając imienia, miasta i nazwy zakładu pracy. W ten sposób znalazł jej bloga, który okazał się kopalnią danych – m.in. szczegółów dotyczących dziadków Kim, jej ulubionego zwierzęcia, rodzinnego miasta, a przede wszystkim prywatnego i uczelnianego adresu e-mail
● Wpisał jej login do konta bankowego (ale mógłby go równie dobrze odgadnąć, bowiem byłą to pierwsza litera imienia+nazwisko!) i użył opcji odzyskiwania hasła; dowiedział się, że nowe hasło zostało wysłane na prywatnego maila Kim
● Użył opcji odzyskiwania hasła z konta prywatnego – informacja została wysłana na konto uczelniane
● Na koncie uczelnianym użył więc – brawo dla tych, którzy na to wpadli 🙂 – opcji odzyskiwania hasła; większość niezbędnych informacji znalazł na blogu, miał jednak problem z jej dokładną datą urodzenia
● Na Facebooku nie znalazł daty urodzenia (brawo dla Kim!), wrócił więc na bloga, poszukał słowa „birthday” (urodziny) i ostatecznie znalazł dzień i miesiąc
● Wiedząc, jak wygląda Kim i ile mniej więcej ma lat, mógł „strzelać” we właściwy rok; na szczęście dla włamywacza konto uczelniane blokowało się dopiero po piątym błędzie, a Thompson trafił wcześniej
● Potem poszło już z górki: wszedł na konto uczelniane, zmienił hasło; uzyskał dostęp do konta prywatnego, zmienił hasło; wszedł na konto bankowe, odpowiedział na kilka prywatnych pytań, by odzyskać hasło (dzięki blogowi nie stanowiły dlań żadnego problemu) i e voila, droga do pieniędzy Kim stała przed nim otworem! Czy raczej stałaby – bowiem na tym eksperyment został zakończony i mocno zapewne zszokowana Kim mogła od nowa zabezpieczyć swoje zasoby e-mailowe i finansowe.

Jakie nasuwają się Wam wnioski? Bo mnie przynajmniej kilka. Na pewno nie powinno się traktować loginu jako zła koniecznego – gdyby Kim miała wystarczająco trudną nazwę użytkownika, próba ataku mogłaby się skończyć zanim by się na dobre zaczęła. Jeśli odczuwamy potrzebę sieciowego ekshibicjonizmu, przed udostępnieniem informacji o sobie warto się zastanowić, czy na pewno jest tak ważne, by akurat te dane poznał cały świat? Nie zaszkodzi też drobny „tuning” odpowiedzi na pytania zabezpieczające przy resetowaniu hasła. Zamiast np. panieńskiego nazwiska matki „Iksińska”, broniącego dostępu do konta Gmail, można wpisać GmaIksińskail. I na takiej samej zasadzie np. SluzYgrekowskabowe. Wystarczy zapamiętać regułę i podpowiedzi, oczywiste dla nas, dla złodzieja będą już znacznie trudniejsze. Nie podsuwajmy mu klucza do naszych pieniędzy na złotym talerzu.