Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność w usługach Google
Czy można sprawdzić, jak dużo wie o nas Google? Czy da się ograniczyć ilość zbieranych przez firmę danych? W obu przypadkach odpowiedź brzmi: tak. W dzisiejszym artykule pokazujemy krok po kroku, jak tego dokonać.
Przeciwnicy Google mają tendencję do demonizowania poczynań tej firmy, co może częściowo wynikać z niezrozumienia, jak działają niektóre z oferowanych przez nią narzędzi. Słyszeliście o pozwie zbiorowym opiewającym na kwotę 5 mld dolarów, który na początku czerwca wpłynął do sądu federalnego w San Jose, w stanie Kalifornia? Powodowie, reprezentowani przez kancelarię prawną Boies Schiller Flexner, oskarżają Google o śledzenie użytkowników nawet wtedy, gdy używają oni w przeglądarce trybu prywatnego. Szkopuł w tym, że tryb prywatny (zwany też trybem incognito) pomaga użytkownikom ukryć aktywność online przed innymi osobami, które korzystają z danego urządzenia, nie czyni ich jednak anonimowymi w internecie – i wiadomo o tym nie od dziś. Chrome (tak samo zresztą jak Firefox czy Opera) po uruchomieniu okna w trybie prywatnym uprzedza, że aktywność użytkownika nadal będzie widoczna dla odwiedzanych przez niego serwisów. Mając na uwadze, że 2/3 stron w internecie może być wyposażonych w trackery Google, nie należy się dziwić, że zebrane przez nie informacje trafiają do giganta z Mountain View.
Zanim więc przystąpimy do konfigurowania ustawień prywatności, sprawdźmy, co dokładnie wie o nas Google. Zacznijmy od pobrania danych, które w taki czy inny sposób przekazaliśmy korporacji. W tym celu w dowolnej usłudze, np. w Gmailu, klikamy w nasze zdjęcie profilowe, wybieramy „Zarządzaj kontem Google” i przechodzimy do zakładki „Dane i personalizacja”. Po znalezieniu sekcji „Twoje dane i działania” klikamy w symbol strzałki podpisany „Pokaż wszystko”.
Trafimy w ten sposób do „Panelu Google”, gdzie możemy przejrzeć nasze dane w różnych usługach, pobrać je na dysk i nimi zarządzać.
Po kliknięciu w link „Pobierz swoje dane”, który przeniesie nas na stronę Google Takeout (https://takeout.google.com), możemy się przekonać, że firma gromadzi o nas o wiele więcej informacji, niż mogłoby to wynikać z widocznego powyżej zrzutu ekranu. Aby wyeksportować treści zapisane na naszym koncie, musimy zaznaczyć, które nas interesują – naliczyliśmy 49 (!) różnych pozycji, poniżej pokazujemy jedynie dolny fragment strony.
Kolejnym krokiem jest wskazanie:
- typu pliku (ZIP lub TGZ),
- częstotliwości (jedno pobranie czy eksport co dwa miesiące przez rok),
- miejsca docelowego (możemy e-mailem otrzymać link do pobrania pliku albo zlecić zapisanie go w usłudze chmurowej – niekoniecznie na Dysku Google, do wyboru mamy jeszcze Dropbox, OneDrive i Box).
Po kliknięciu przycisku „Utwórz eksport” zostaniemy poinformowani, że proces archiwizacji może zająć kilka godzin czy nawet dni – wszystko zależy od ilości danych zgromadzonych w różnych usługach Google. Firma powiadomi nas e-mailem zarówno o zgłoszeniu prośby o stworzenie kopii danych powiązanych z naszym kontem, jak i o dostępności pliku do pobrania. W przypadku autorki tego tekstu – mimo zaznaczenia wszystkich pozycji – archiwizacja trwała niecałe 5 min, a plik do pobrania miał rozmiar 381,7 MB (po rozpakowaniu 510,7 MB). Powód? Od lat mam wyłączone zapisywanie historii aktywności we wszystkich usługach Google, które na to pozwalają – a to znacznie ogranicza ilość zbieranych przez firmę informacji.
Jak poprawić ustawienia prywatności swego konta
Z poziomu strony głównej ustawień konta Google, a także w zakładce „Dane i personalizacja” możemy uruchomić funkcję Privacy Checkup (https://myaccount.google.com/privacycheckup). Wybieramy w tym celu opcję „Sprawdź Ustawienia prywatności”. W pierwszym kroku możemy wybrać, czy chcemy zapisywać:
- aktywność podejmowaną przez nas na stronach i w aplikacjach Google,
- mapę miejsc odwiedzanych z urządzeniami, na których jesteśmy zalogowani,
- informacje o obejrzanych przez nas filmach i wyszukiwaniach w YouTube.
Za każdym razem po wybraniu „Zarządzaj…” otworzy się nowe okno przeglądarki, gdzie będziemy mogli dokonać poprawek w ustawieniach.
Zarządzanie aktywnością dostępne jest pod adresem: https://myactivity.google.com/myactivity?restrict=waa. Firma tłumaczy, że chodzi o „rzeczy, które robisz w usługach Google takich jak Mapy, wyszukiwarka czy Google Play”. Autorka tego tekstu nie zezwala na zapisywanie żadnych informacji, istnieje jednak możliwość skonfigurowania tej opcji w mniej restrykcyjny sposób, np. wybierając automatyczne usuwanie historii aktywności po upływie trzech miesięcy. Można też kasować wybrane elementy ręcznie. Widoczna po lewej stronie opcja „Inna aktywność w Google” umożliwia zarządzanie jeszcze większą ilością informacji o naszych działaniach na koncie. Dostaniemy się w ten sposób np. do historii Chrome (https://myactivity.google.com/page?page=chrome) i będziemy mogli usunąć ją ze wszystkich zsynchronizowanych urządzeń.
Na poniższym zrzucie ekranu można zobaczyć, jak wygląda historia lokalizacji osoby, która zrezygnowała z jej zapisywania. Mapkę odwiedzonych miejsc z możliwością dostosowania jej do własnych potrzeb znajdziemy pod adresem: https://www.google.com/maps/timeline.
Tak samo jak aktywnością, możemy zarządzać historią oglądania i wyszukiwania w YouTube. Wystarczy odwiedzić stronę: https://myactivity.google.com/activitycontrols/youtube. Opcję tę bez problemu znajdziemy także z poziomu YouTube: https://www.youtube.com/feed/history.
Po zweryfikowaniu i ewentualnym poprawieniu wskazanych wyżej ustawień możemy wrócić do funkcji Privacy Checkup. Kliknięcie przycisku „Dalej” przeniesie nas do zarządzania informacjami udostępnianymi w YouTube. Możemy w tej sekcji zadecydować, co chcemy ukryć przed innymi użytkownikami serwisu (bo Google i tak będzie wszystko widzieć).
Następny krok, opatrzony zachętą „Ułatw innym skontaktowanie się z Tobą”, umożliwia zarządzanie przypisanym do konta numerem telefonu (https://myaccount.google.com/phone). Wbrew pozorom chodzi nie tylko o możliwość zidentyfikowania nas na podstawie podanego numeru, ale też o użycie go do wysyłania alertów dotyczących bezpieczeństwa oraz w usłudze zwanej menedżerem nieaktywnych kont (możemy dzięki niej ustalić, po ilu miesiącach niekorzystania z danego konta firma ma je uznać za nieaktywne i czy chcemy jego usunięcia – zob. https://myaccount.google.com/inactive). W poprzednim artykule z cyklu „Podstawy Bezpieczeństwa” pokazaliśmy, jak skonfigurować na swoim koncie „Ochronę zaawansowaną”. Po zabezpieczeniu konta w ten sposób możemy numer telefonu usunąć. Uniemożliwi to potencjalnemu atakującemu wymuszenie innego sposobu logowania niż z użyciem klucza U2F (żeby atak się powiódł, przestępca musiałby uzyskać duplikat naszej karty SIM, ale na polskim gruncie zdarzały się już podobne ataki).
Po kliknięciu przycisku „Dalej” będziemy mogli zadecydować, jakie informacje o sobie udostępnimy innym użytkownikom usług Google. Im mniej danych podamy, tym mniej ich zgromadzi także sama firma. Na każdej z używanych stron dobrze jest trzymać się zasady niepodawania żadnych informacji poza tymi, które są konieczne do poprawnego działania usługi. W omawianym przypadku warto zwrócić uwagę także na ustawienie rekomendacji społecznościowych: https://myaccount.google.com/shared-endorsements. Google może wykorzystywać w reklamach nazwę naszego profilu (imię i nazwisko), zdjęcie profilowe i publikowane przez nas treści (np. opinie o produktach). Aby temu zapobiec, należy wyedytować swoje ustawienia i usunąć zaznaczenie tej opcji u dołu strony.
Ostatni krok pozwala na zarządzanie ustawieniami reklam. Istnieją oczywiście ludzie, którzy lubią, gdy wyświetlane im reklamy pasują do ich zainteresowań, wieku czy płci. Autorka tego tekstu do nich nie należy.
Personalizację reklam możemy wyłączyć pod adresem: https://adssettings.google.com/authenticated. Google lojalnie uprzedza, że w takim przypadku „reklamy nie znikną, a tylko będą mniej trafnie dobrane”. Warto też kliknąć w dostępną niżej opcję „Zarządzaj personalizacją reklam na stronach i w aplikacjach używających usług reklamowych Google” – przeniesiemy się wówczas na stronę Your Online Choices, gdzie będziemy mogli wyłączyć wyświetlanie dopasowanych reklam dostawców innych niż firma z Mountain View.
Na tyle pozwala funkcja Privacy Checkup, ale nie są to wszystkie ustawienia, które warto uwzględnić. Jeśli używamy Asystenta Google, powinniśmy odwiedzić stronę https://myaccount.google.com/yourdata/assistant, gdzie uzyskamy możliwość przejrzenia i usunięcia zebranych z jego pomocą danych.
Aby sprawdzić, co Google wie o naszych zakupach, subskrypcjach i rezerwacjach, musimy w ustawieniach konta zajrzeć do zakładki „Płatności i subskrypcje”. Nie będziemy tu niestety mieli dużego pola do manewrów – opcja „Zarządzaj…” umożliwia jedynie zapoznanie się z historią naszych transakcji i usunięcie wybranych zakupów (https://myaccount.google.com/purchases) czy rezerwacji (https://myaccount.google.com/reservations). Nie da się natomiast wyłączyć zbierania przez firmę tego typu danych. Historia jest budowana głównie w oparciu o wiadomości docierające na skrzynkę Gmail i może nie zawierać wszystkich sklepów i usług, z których korzystamy, ale liczba tych uwzględnianych systematycznie rośnie. Pewnym wyjściem z sytuacji jest nieprzechowywanie w skrzynce e-maili potwierdzających złożone zamówienia – dla wielu osób takie rozwiązanie może się jednak wydać zbyt drastyczne. Innym pomysłem jest przeniesienie swego konta do G Suite – użytkownikom pakietu biznesowego Google zapewnia więcej prywatności, ale to kosztuje.
Dotarliśmy w ten sposób do zasadniczej kwestii: czy korzyści czerpane z usług Google równoważą (bądź przewyższają) ryzyko związane z gromadzeniem przez jeden podmiot tak dużej ilości danych? Na to pytanie każdy musi odpowiedzieć sobie sam, choć mamy nadzieję, że po przeczytaniu ostatnich artykułów z cyklu „Podstawy Bezpieczeństwa” nie będzie odpowiadał na chybił trafił.
Tydzień temu pokazaliśmy, jak można poprawić bezpieczeństwo swego konta Google, które – prawdę mówiąc – nawet przy ustawieniach domyślnych jest chronione przed atakami lepiej niż usługi większości konkurentów. Jeśli komuś zależy przede wszystkim na bezpieczeństwie, wybór jest oczywisty (uprzedzając czepliwych komentatorów – mamy na myśli przeciętnych użytkowników, nie wyszkolonych profesjonalistów, którzy nie śpią, bo trzymają kredens doglądają serwera). W przypadku osób, które chciałyby zachować poufność przesyłanej korespondencji, sugerujemy jej szyfrowanie. Jeśli nie należymy do VIP-ów, mających dostęp do wyjątkowo wrażliwych danych budzących zainteresowanie służb specjalnych innych krajów, to nie powinniśmy się raczej obawiać korzystania z Google. Warto oczywiście zastosować się do podanych w tym artykule wskazówek i ograniczyć ilość informacji, które firma o nas gromadzi. Jeśli komuś to nie wystarczy, może poszukać alternatywnych rozwiązań (polecamy zapoznanie się z następującą listą zamienników usług Google: https://degoogle.jmoore.dev).
Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Dlaczego warto, by system klasy PAM zastąpił w firmie managery haseł
- Product Manager Senhasegura, Kamil Budak, gościem RK o 21:00
- Zarządzaj dostępem zdalnym z darmowym narzędziem Fudo One
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
„Jak zadbać o swoją prywatność w usługach Google?”
Nie korzystać z nich?
Na próżno im to tu mowić ;)
Ponawiam pytanie z innego posta, czy jest szansa na jakiś artykuł od Redakcji na temat popularnych narzędzi – skrzynek pocztowych, przeglądarek, wtyczek od mniej popularnych dostawców w formie zestawienia jak np. na https://www.privacytools.io/ ?
Może jakiś test VPNów? Wydaje mi się (może się mylę), że skoro ktoś czyta z3s, to niekoniecznie jest fanem rozwiązań w stylu Gmail, Chrome etc. i chętnie by się dowiedział czegoś na temat niszowych produktów.
Na pewno będzie artykuł o przeglądarkach i wtyczkach (sama na co dzień też nie używam Chrome). Co do innych rozwiązań – jeszcze się zastanowimy. O VPN-ach Adam opowiadał na jednym z bezpłatnych webinarów, ale dostępnego online nagrania chyba nie ma.
Jeśli chodzi o przeglądarki to jestem ciekawy Waszej opinii o Brave Browser.
„Może jakiś test VPNów? Wydaje mi się (może się mylę), że skoro ktoś czyta z3s, to niekoniecznie jest fanem rozwiązań w stylu Gmail, Chrome etc. i chętnie by się dowiedział czegoś na temat niszowych produktów.”
żaden VPN nie dorównuje Tor Browser, więc po co robić testy. dowiedz się na temat mechanizmów w Tor Browser, na przykład każda odwiedzana domena dostaje inny adres IP
Zdziwiłem się, że plik z moimi danymi ma jedynie 2,5 MB (skompresowany). Dane nieskompresowane niespełna 21 MB. Ale wszystko jest w porządku, bo historię z YouTube pobrało prawidłowo. Historia YouTube jest u mnie włączona świadomie, wszystko inne mam wyłączone. Przy okazji przejrzałem sobie swoje komentarze z dawnych lat :).
Przydatny artykuł, bo mimo że zawsze i wszędzie – na każdej stronie – zakładka „prywatność” jest pierwszą, do jakiej zaglądam, to zawsze człowiek może się dowiedzieć czegoś więcej. A szczególnie w przypadku takiego molocha jak Google i te wszystkie usługi.
Da się przenieść playlistę z YouTube na inne konto? W celu wykonania backupu.
Wychodzi na to, że wszystko dobrze skonfigurowałem – pobrało mi plik ważący ok 540kb, jedyne co było tam ciekawego to moje komentarze i playlisty na YT oraz historia instalowania apek na telefonie z androidem (po instalacji 'odwiązałem’ połączenie telefonu z kontem google). Zaskoczył mnie jedynie dość mocny fingerprint telefonu, ale nie mam na nim żadnych wrażliwych danych ;)
A artykuł ciekawy, odświeżyłem sobie pamięć i wiem co google wie na mój temat.
No dobrze, ale ja nie chcę mieć konta Google. Chcę natomiast korzystać z telefonu komórkowego i chcę, żeby aplikacje w nim się aktualizowały. Instalując Linuxa mam dostęp do aktualizacji systemu (polecenie dnf nie każe mi się nigdzie rejestrować). Dlaczego tak nie może być w telefonie?
Monopol Google jest bardzo zły. Czy leci z nami europejski regulator antymonopolowy?
Jak na moje to chyba przestrzeliłeś z wymaganiami, kupując telefon z Androidem, którego to systemu producent jest guglem :). Chyba że sobie zrootujesz i wciśniesz coś dziwacznego, wtedy będziesz miał tak jak na komputerze. Ale też będziesz miał to dziwactwo z całym dobrodziejstwem inwentarza, czyli albo będzie lepsze niż system gugla, albo gorsze. Czasem lepszy znany wróg niż całkiem obcy :).
Bo tak jak z komputerami, jest olbrzymi sensowny wybór systemów operacyjnych: Linux i Windows :F.
Droga na skróty: Kup iPhone czyli zmień oprawcę na Apple.
Droga pod górę (po śliskich kamieniach i z plecakiem za to pod wiatr): Pine sprzedaje telefony na których możesz zainstalować system jaki chcesz z karty SD. Opcji jest niby kilka, ale trudno nazwać to produktem końcowym (część funkcji nie działa, część działa słabo mało co działa w pełni, za to są rozbudzone nadzieje).
Droga z kamieniem w butach: Kup „niesmartfon” do rozmów telefonicznych a do bycia w sieci używaj małego komputera (teraz wracają urządzenia typu handheld z 7″ ekranem).
Jest jeszcze Purism, ale nie wiem co to za droga.