מחדל פרטיות חדש: מידע של מיליוני משתמשי פייסבוק דלף לרשת
חוקרים מאוניברסיטת קיימברידג' השתמשו באפליקציית שאלון כדי לאסוף מידע גולשים, שכלל תוצאות מבחנים פסיכולוגיים. החומר הרגיש היה זמין ברשת בצורה חופשית למדי במשך ארבע שנים
- החל מהיום: תקנות סייבר ושמירת פרטיות חדשות בישראל
- קיימברידג' אנליטיקה שמרה מידע פוליטי רגיש שהגדירה כמחוק
- לחלק מעובדי פייסבוק הרשאות כניסה מלאות לפרופילים שלנו
לפי הדיווח, מדובר במידע שחוקרים מאוניברסיטת קיימברידג' אספו באמצעות אפליקציית שאלון אישיות בשם myPersonality. מידע זה הועלה לאתר אקדמי והיה זמין שם למאות חוקרים – דבר בעייתי בפני עצמו. ואולם, מחסור באמצעי אבטחה מספקים באתר אפשר לזכות בגישה מלאה אליו בקלות יחסית. המידע היה זמין באתר במשך ארבע שנים, ואין דרך לדעת בוודאות אילו וכמה גורמים ניגשו אליו בתקופה זו.
המידע עצמו רגיש במיוחד וחושף פרטים רגישים כמו תוצאות של מבחנים פסיכולוגיים. אף שהמידע אמור היה להיות מאוחסן בצורה אנונימית, האמצעים שננקטו לא היו מספקים דיים וכתוצאה אפשר לחשוף את זהות המשיבים ללא קושי רב במיוחד.
יותר מ-6 מיליון איש מילאו שאלונים באפליקציית myPersonality, וכמעט מחצית מהם הסכימו לשתף מידע מפרופיל הפייסבוק שלהם עם הפרויקט. המידע נאסף והועלה לאתר במטרה לשתף אותו עם חוקרים אחרים, כאשר שמות המשתמשים הוסרו. על מנת לקבל גישה למידע המלא, נדרשו גולשים להירשם כשותפים בפרויקט. בסך הכל נרשמו יותר מ-280 איש מ-150 מוסדות, ובהם חוקרים באוניברסיטאות ובחברות כמו פייסבוק, גוגל, מיקרוסופט ויאהו.
כדי להירשם, נדרשו החוקרים להציג חוזה אקדמי קבוע, אך ניתן היה להגיע למידע בקלות בדרך אחרת: בארבע השנים האחרונות, ניתן היה למצוא בחיפוש פשוט ברשת שם משתמש וסיסמה שסיפקו גישה מלאה לאתר. לפי New Scientist, כל מי שרצה גישה לאתר יכול היה למצוא את הפרטים בתוך פחות מדקה. לפי הדיווח, מרצה באוניברסיטה שקיבל את פרטי הגישה בצורה לגיטימית מסר אותם לסטודנטים שפיתחו כלי לעיבוד המידע. משסיימו, העלו הסטודנטים את קוד הכלי לאתר GitHub, מבלי שהסירו את פרטי ההתחברות.
באמצעות שם משתמש וסיסמה אלו ניתן היה לראות דירוגי אישיות של 3.1 מיליון משתמשים בחמישה מדדים דוגמת מצפוניות וניורוטיות, וכן לזכות בגישה ל-22 מיליון פוסטים של יותר מ-150 אלף משתמשים לצד מידע אישי כמו גיל, מגדר ומצב מערכת יחסים של 4.3 מיליון איש. המשתמשים במאגר המידע סומנו במספר מזהה ייחודי, שחיבר בין הפרופיל הפסיכולוגי שלהם למידע האישי, הפוסטים, המיקום ועוד. אף שלא כלל שם, לדברי מומחים חיבור בין הפרטים האישיים השונים לפוסטים שנכתבו מאפשר להגיע בקלות רבה לזהות המשתמשים.
נכון לעכשיו, האתר הבעייתי כבר לא זמין ושם המשתמש והסיסמה לא עובדים. עם זאת, לאור המספר הרב של האנשים שזכו לגישה למידע, באופן לגיטימי או לא, והזמן הרב שהמידע היה זמין, אין שום דרך לדעת מי העתיק את המידע, עם מי הוא שותף ולאיזה מטרות נעשה בו שימוש.
פייסבוק: הנושא בבדיקה
מפייסבוק נמסר ל-New Scientist שהאפליקציה הושעתה מהפלטפורמה ב-7 באפריל, מכיוון שהפרה את מדיניות השימוש: "אנחנו חוקרים את האפליקציה, ואם myPersonality תיכשל בביקורת שלנו, נחסום אותה לצמיתות". ממשרד נציב המידע של בריטניה, רגולטור הפרטיות של המדינה, נמסר שהנושא בחקירה.
מאגר המידע נשלט על ידי שני חוקרים מהמרכז הפסיכומטרי של אוניברסיטת קיימברידג', דייוויד סיטוול ומיקל קוסינסקי. השניים השתמשו במידע שאספו לצורך פיתוח כלי התאמת פרסומות אותו תיאור כ"קורא מחשבות", וששווק באמצעות חברה פרטית שהקימו לצורך כך.
ל-myPersonality יש גם קשר קרוב לפרשת קיימברידג' אנליטיקה. ב-2013, פנתה חברת הייעוץ הבעייתית למפתחי האפליקציה בבקשה לקבל גישה למידע שאספה. החוקרים סרבו בגלל הפעילות הפוליטית של החברה. בעקבות סירוב זה פנה החברה לחוקר אחר מקיימברידג', אלכסנדר קוגן, שעד קיץ 2014 נמנה על הצוות של myPersonality, שפיתח בעבורם את האפליקציה ששימשה לאיסוף המידע המאסיבי על 87 מיליון משתמשי פייסבוק.