Twitter: All your data are belong to us

dodał 16 lutego 2012 o 00:03 w kategorii Mobilne, Prywatność, Top  z tagami:
Twitter: All your data are belong to us

Korzystacie z aplikacji Twittera na iPhona lub Androida? Wybraliście kiedykolwiek funkcję „Find friends”? Jeśli tak, to na serwery Twittera trafiła cała Wasza książka adresowa. I będzie tam co najmniej przez półtora roku.

Drogi Twitterze, weź moją książkę adresową!

Dziennikarz Los Angeles Times, David Sarno, zwrócił uwagę czytelników na ciekawy problem. Aplikacja Twittera przeznaczona dla iPhonów oraz telefonów z Androidem posiada wbudowaną funkcję wyszukiwania kont przyjaciół w oparciu o książkę adresową użytkownika. Kiedy funkcja zostaje aktywowana, lista wszystkich adresów email oraz numerów telefonów kontaktów użytkownika zostaje przesłana na serwery Twittera. Tam porównywana jest z istniejąca bazą użytkowników Twittera i na podstawie tego porównania użytkownik może zobaczyć, kto z jego znajomych posiada już konto na Twitterze. I wszystko było by w porządku, gdyby nie jeden drobny szczegół. Twitter tych danych nie kasuje. Przynajmniej nie przed upływem 18 miesięcy.

 

Po co mówić użytkownikowi, co właśnie robi?

W trakcie uruchamiania funkcji czy tez korzystania z niej nigdzie nie pojawia się żadna informacja dotycząca przesyłania danych. Użytkownik o przyzwoitym poziomie świadomości informatycznej zapewne domyśli się, że Twitter przesyła dane do swojego serwera bo tak jest je najprościej zweryfikować. Oczywiście mógłby przesyłać jedynie hash adresu email, ale czy ktoś spodziewa się, że Twitter będzie dbał o prywatność jego danych? Większość użytkowników nie domyśli się jednak, że ich książka adresowa ląduje na jakimś serwerze. A już na pewno nikt nie domyślał się, że po przesłaniu i weryfikacji dane nie są usuwane. Proces przesyłania i przechowywania danych nie jest także opisany w Polityce Prywatności firmy.

Twitter zdążył się już pokajać za swoje działanie. Ustami rzeczniczki prasowej poinformował, że zmieni opis funkcji w aplikacji, by dostarczał on więcej informacji o przeprowadzanych operacjach. Dodatkowo poinformował, że dane przechowuje, by w przyszłości poinformować nas, kiedy ktoś z naszych znajomych założy konto w serwisie. Tylko po co potrzebne są do tego numery telefonów? Tego w odpowiedzi Twittera nie znajdziemy.

Jak usunąć dane?

Wszystkich zaniepokojonych przechowywaniem danych ich kontaktów na serwerach Twittera informujemy, iż można je usunąć poprzez interfejs www. Aby tego dokonać, należy otworzyć adres https://twitter.com/#!/who_to_follow/import i następnie pod lista kont do zaimportowania znaleźć drobnym drukiem podany link o treści „remove”. Pozwala on na usunięcie przesłanych wcześniej danych.

Niestety możliwość usunięcia danych dotyczy tylko tego zakresu, który został przesłany przez konkretnego użytkownika. Nie istnieje możliwość usunięcia z serwerów Twittera swojego adresu email, jeśli został on tam przesłany przez kogoś innego. All your data are belong to us!

Kto jeszcze?

Twitter nie jest jedynym serwisem nadużywającym dostępu do danych użytkownika. Kilka dni temu podobne zachowanie zaobserwowano w aplikacji Path dla iPhona. Jak informuje na swoim blogu Dustin Curtis, z 15 dużych deweloperów aplikacji mobilnych, 13 przyznało się, że posiadają ogromne bazy kontaktów swoich użytkowników.  Jeden z deweloperów nawet wyjawił, że w swojej bazie ma prywatne numery telefonów Marka Zuckerberga, Larry’ego Ellisona oraz Billa Gatesa. Ciekawe, kiedy te dane znajdą się w serwisie Pastebin.com…