Sprawozdanie irlandzkiej Rady Wolności Obywatelskich (ICCL) podkreśla, że technologia reklamowa obecna w prawie wszystkich witrynach internetowych i aplikacjach rozpowszechnia wrażliwe dane na temat przywódców i personelu UE, co może narazić ich na ataki złych podmiotów.
Nowy raport irlandzkiego organu nadzorującego wolności obywatelskie uwydatnił zjawisko, które nazywa się „europejskim kryzysem bezpieczeństwa” związanym z dystrybucją wrażliwych danych o przywódcach i personelu, które mogłyby zaszkodzić organizacjom i instytucjom.
Problem dotyczy szeroko stosowanej technologii reklamowej online zwanej licytacją w czasie rzeczywistym (RTB), która jest obecna w prawie wszystkich witrynach i aplikacjach.
Licytacja w czasie rzeczywistym oznacza zautomatyzowane kupowanie i sprzedawanie wyświetleń reklam online za pośrednictwem aukcji błyskawicznych. Proces ten zwykle trwa w czasie ładowania strony internetowej i określa, które reklamy zostaną wyświetlone użytkownikowi.
Zdaniem ICCL problem polega na tym, że system ten polega na „przekazywaniu wrażliwych danych o osobach korzystających z tych stron internetowych i aplikacji dużej liczbie innych podmiotów, bez stosowania środków bezpieczeństwa chroniących dane”.
Dane, o których mowa, często obejmują dane o lokalizacji lub znaczniki czasu, które można wykorzystać w celu łatwego powiązania ich z konkretnymi osobami.
ICCL przeanalizowała dziesiątki tysięcy stron danych RTB i ujawniła, że były one wykorzystywane do atakowania personelu wojskowego UE i decydentów politycznych.
„Zagraniczne państwa i podmioty niepaństwowe mogą wykorzystywać RTB do szpiegowania problemów finansowych, stanu psychicznego i ujawniania tajemnic intymnych wybranych osób” – czytamy w raporcie.
„Nawet jeśli docelowe osoby korzystają z bezpiecznych urządzeń, dane na ich temat nadal będą przepływać za pośrednictwem RTB z urządzeń osobistych, ich znajomych, rodziny i naruszających kontakty osobiste” – czytamy dalej.
W raporcie wskazano, że technologie nadzoru, takie jak PATTERNZ, narzędzie zbudowane przez prywatną firmę ISA Izraelska Akademia Bezpieczeństwa i Technologies, wykorzystują w swoich produktach dane RTB.
Na swojej stronie internetowej firma stwierdza, że program „umożliwia agencjom bezpieczeństwa narodowego wykorzystywanie danych generowanych przez reklamy użytkowników w czasie rzeczywistym i historycznych w celu wykrywania, monitorowania i przewidywania działań użytkowników, zagrożeń bezpieczeństwa i anomalii w oparciu o zachowanie użytkowników, wzorce lokalizacji i charakterystykę korzystania z urządzeń mobilnych „.
W podsumowaniu swoich kluczowych ustaleń ICCL stwierdziła, że Google i inne firmy RTB wysłały dane dotyczące osób fizycznych w USA do Rosji i Chin, gdzie lokalne prawo zezwala agencjom bezpieczeństwa na dostęp do danych.
Ponadto twierdzili, że handel danymi RTB w UE odbywa się w sposób „bezpłatny dla wszystkich”, co oznacza, że podmioty zagraniczne i niepaństwowe również mogą je uzyskać.
Z raportu wynika, że Google, największy gracz w systemie RTB, wymienia 1102 dostawców technologii reklamowych, którzy potencjalnie otrzymują dane z jego aukcji RTB, wśród których znajdują się podmioty rosyjskie i chińskie.
W raporcie podkreślono również, że Xandr, spółka zależna Microsoftu zajmująca się reklamą i analizą, wśród swoich partnerów zajmujących się serwerami reklamowymi wymienia 1647 firm, które mogą otrzymywać dane RTB z jej aukcji.
W odpowiedzi Google stwierdził, że lista dostawców nie reprezentuje autoryzowanych nabywców w programie RTB i że błędne jest założenie, że otrzymują oni dane bezpośrednio od Google.
„Bezpłatne dane branży RTB stworzyły poważne zagrożenie dla całego kraju” – stwierdził w oświadczeniu prasowym dr Johnny Ryan, starszy członek ICCL.
„Wzywamy amerykańską Federalną Komisję Handlu, europejskie organy ochrony danych i Komisję Europejską do pilnego działania. Nie można pozwolić, aby branża narażała naszych wybranych przywódców i personel wojskowy na ryzyko” – dodał.
„Najsurowsze ograniczenia”
W oświadczeniu przesłanym e-mailem rzecznik Google odrzucił kilka twierdzeń przedstawionych w raporcie.
„Aby chronić prywatność ludzi, mamy najsurowsze w branży ograniczenia dotyczące typów danych, które udostępniamy w ramach licytacji w czasie rzeczywistym. Ten raport zawiera wprowadzające w błąd i niedokładne twierdzenia na temat Google. Nasze zasady ustalania stawek w czasie rzeczywistym po prostu nie pozwalają złym aktorom na naruszenie prywatności i bezpieczeństwa ludzi” – powiedział rzecznik.
Google podkreśliło również, że nie udostępnia Kupującym RTB dokładnej lokalizacji ani wrażliwych danych osobowych dotyczących zdrowia, rasy, religii, przynależności politycznej, dokładnej lokalizacji, historii lokalizacji ani historii przeglądania.
Dodali, że w pytaniach o stawkę nie są udostępniane żadne dane osobowe (PII) i dodali, że od początku 2022 r. Google wstrzymał wyświetlanie reklam w Rosji, a także zawiesił wszystkich partnerów Authorized Buyers z siedzibą w Rosji.
Firma Microsoft nie odpowiedziała jeszcze na prośbę o komentarz w tej sprawie.
