Proč bychom si měli hlídat svoje osobní data 3. díl: Data, která sdílíme, aniž o tom víme.
V dalším díle našeho seriálu o ochraně osobních dat se zaměříme na informace, které vědomě nezveřejňujeme, ale které se přesto automaticky synchronizují, ukládají nebo sdílejí. Často si ani neuvědomíme, že něco opustilo naše zařízení a začalo žít vlastním digitálním životem. Jak už je pro tuto sérii typické, ukážeme si, že i tato data má smysl chránit.
Strava
Strava je populární fitness aplikace pro běh, cyklistiku, chůzi a další pohybové aktivity. Umožňuje zaznamenávat trasu, tempo, čas, převýšení i další údaje pomocí GPS a sdílet je s ostatními uživateli. Pro mnoho lidí je to tréninkový deník, motivační nástroj i místo, kde sledují výkony svých známých.
Historie polohy Google
Historie polohy Google je funkce, která ukládá, kde se uživatel pohyboval a jaká místa navštívil. Může pomoci například s dohledáním tras, minulých cest nebo míst, kde člověk byl. Zároveň ale vytváří podrobný záznam pohybu v čase, který může být velmi citlivý. Dá se zapnout či vypnout v nastavení Google maps.
Jako první dnešní příklad nám poslouží aplikace Strava. Mnoho lidí ji bere jen jako praktický doplněk k běhání nebo jízdě na kole. Právě v tom ale spočívá část problému, protože člověk snadno přehlédne, kolik informací o něm podobná služba dokáže nasbírat a prozradit.
V roce 2017 Strava zveřejnila globální heatmapu sestavenou z přibližně 1 miliardy aktivit, 3 bilionů GPS bodů a asi 10 miliard mil pohybu nasbíraných během dvou let. Na první pohled šlo o atraktivní vizualizaci sportovní aktivity po celém světě. V praxi ale mapa pomohla odhalit polohu a trasy pohybu kolem vojenských základen v Iráku, Sýrii, Afghánistánu, Nigeru a dalších zemích. Ukázalo se, že i sloučená a zdánlivě anonymní data mohou odhalit velmi citlivé informace.
Bylo by snadné odbýt to jako extrémní případ týkající se armády. Jenže pozdější výzkum ukázal, že podobný princip dopadá i na běžné uživatele. Studie publikovaná v roce 2023 popsala, že i anonymizovaná heatmapa může pomoci odhalit domovské adresy obyčejných lidí, pokud se zkombinuje s veřejnými rejstříky a dalšími stopami. Výzkumníci navíc upozornili, že ani soukromý profil nastavený jen pro přátele nemusí znamenat, že uživatel z těchto přehledů úplně zmizí.
Podobný problém se objevil i u Google Kalendáře. Výzkumníci z Netskope Threat Labs našli stovky veřejně dostupných kalendářů, v jejichž událostech nebyly jen názvy schůzek, ale i odkazy na videohovory, interní dokumenty, telefonní čísla nebo přístupové PINy ke konferenčním hovorům. Nejde jen o to, co si do kalendáře zapíšete ručně. Pokud používáte Gmail, možná v něm už některé události dávno máte automaticky — třeba rezervace, letenky, schůzky nebo jiné záznamy převzaté z e-mailů. Právě proto stojí za to se do kalendáře občas podívat i tehdy, když ho „vlastně nepoužíváte“. Zde jsou totiž k nalezení velmi praktické informace: kdo se s kým potkává, kdy má schůzku a co si do kalendáře zapisuje. Na tomto druhém příkladu je již jasnější, že nejde o jednu nešťastnou aplikaci, ale o běžný způsob, jak dnes data vznikají, ukládají se a putují dál.
Výše zmíněné příklady ukazují typický vzorec, který stojí za celou řadou podobných problémů. Největší nebezpečí často nespočívá v tom, že se někdo někam nabourá a data ukradne. Místo toho se informace automaticky ukládají, synchronizují, zpracovávají nebo zpřístupňují, aniž byste sami něco vědomě zveřejnili nebo odeslali. Z vašeho pohledu se nic zvláštního nestalo, jen jste používali službu tak, jak byla navržena. Přesto za vámi vzniká datová stopa, která může říct mnohem víc, než by člověk čekal.
Synchronizace
Automatické přenášení dat mezi zařízením a online službou.
Cloudová záloha
Ukládání dat na servery poskytovatele služby, aby byla dostupná i po ztrátě, poškození nebo výměně zařízení.
Dvoufaktorové (dvoufázové) ověření
Dodatečné zabezpečení účtu; kromě hesla je potřeba ještě druhý krok, například kód z telefonu nebo ověřovací aplikace.
Heatmapa
Mapa, která z velkého množství dat ukazuje, kde byla aktivita nejčastější nebo nejintenzivnější.
Do stejné kategorie patří i automatická záloha fotografií, Historie polohy Google a další služby, které běží tiše na pozadí. Jsou pohodlné a často dávají smysl — třeba když ztratíte telefon nebo potřebujete dohledat, kde jste byli. Zároveň ale shromažďují velmi osobní materiál: fotografie dětí, vybavení domácnosti, auta, dokladů, pracoviště, seznam navštívených míst, pravidelné trasy i časové vzorce vašeho pohybu. V minulém díle jsme si rozebrali případ muže, který si podle fotografií a online stop vytipovával oběti, sledoval je a následně okrádal. Je tedy zřejmé, že z takových dat se dá poskládat nepříjemně přesný obraz našeho života, který se dá snadno zneužít.
První krok je jednoduchý: podívat se, co se vám vlastně automaticky synchronizuje a zálohuje. U většiny telefonů a služeb dnes bez větší pozornosti běží záloha fotek, kontaktů, kalendářů, historie polohy, dokumentů nebo historie aktivit. Samotná cloudová záloha není špatně, často je to naopak základní krok k zabezpečení vlastních dat před ztrátou. Měla by ale stát na důvěryhodné službě, dobře zabezpečeném účtu, silném heslu a ideálně i dvoufaktorovém ověření. Pokud si nejste jistí, zda je pro určitý typ dat vhodná, je lepší do cloudu zálohovat jen to, co by vám ani při zveřejnění nezpůsobilo vážnou škodu.
Druhý krok je rozlišovat mezi zálohou, sdílením a veřejnou dostupností. To, že se něco ukládá do cloudu, ještě neznamená, že je to veřejné. Zároveň ale neplatí, že když je něco „jen zálohované“, máte to automaticky plně pod kontrolou. U každé služby má smysl položit si několik jednoduchých otázek: kdo k datům může přistupovat? Mohou se stát veřejně dohledatelnými třeba přes odkaz nebo změnou nastavení? Pokud si nejste jistí, je namístě obrátit se na poskytovatele služby a zjistit, jak přesně s daty nakládá. Pomoci v tom mohou i spotřebitelské organizace.
Třetí krok je být proaktivní a nečekat, až se problém ozve sám. Má smysl občas zkontrolovat nastavení soukromí, aktivní sdílení, připojené aplikace i historii přihlášení k účtu. Stejně tak je dobré věnovat pozornost upozorněním na změnu hesla, nová přihlášení, neobvyklou aktivitu nebo e-mailům, které se tváří jako zprávy od služby, ale chtějí po vás přihlášení nebo potvrzení nějaké změny. U automaticky zpracovávaných dat totiž často nerozhoduje jen to, co jste kam nahráli, ale i to, jak rychle si všimnete, že se kolem vašeho účtu nebo vašich dat začalo dít něco podezřelého.
Nejrizikovější data tak často nejsou ta, která člověk vědomě zveřejní, ale ta, která odevzdává automaticky. Často přitom může jít o informace, které by vědomě na internet nikdy nedal. Ochrana osobních dat proto není paranoia ani výsada expertů, ale měla by být běžnou součástí života s internetem. A čím víc služeb funguje automaticky, tím důležitější je občas se zastavit a podívat se, co všechno dělají, když je necháme bez dozoru.
V příštím díle se podíváme na to, jak mohou být osobní data v době AI, deepfakes a strojového zpracování zneužívána ve velkém a s dosud nevídanou rychlostí. Ukážeme si, jak se i zdánlivě nevinný obsah může proměnit v prostředek vydírání — a jak může podobné zneužití poškodit každého z nás.
Zdroje:
Strava: https://www.cs.ox.ac.uk/innovation/research-impact/case-strava.html
Google kalendáře: https://www.netskope.com/blog/leaky-calendars-accidental-exposure-in-google-calendar