Если вы смотрите порно, будьте готовы, что о ваших сексуальных пристрастиях узнают окружающие

На днях американский школьник взломал почту директора ЦРУ и министра нацбезопасности США. Это в очередной раз показало, что даже сильные мира сего не защищены от кражи данных. Что же говорить о простых людях, информацию о которых ежедневно собирают почтовые сервисы, запросы в поисковиках или даже порносайты.

Что случилось?

Если вы живёте в 2015 году и смотрите порно, то будьте готовы к тому, что рано или поздно о ваших сексуальных пристрастиях узнают окружающие. И да, очистки истории и cookies, а также использования режима «Инкогнито» больше недостаточно. Просто представьте, что однажды утром вы проснётесь и увидите на каком-нибудь популярном паблике, где сидят коллеги с работы или одногруппники, своё имя, а напротив — запросы, которые вы вводили на PornHub на протяжении последних месяцев.

Это не самая радужная перспектива даже для тех, кто не скрывает, что смотрит видео для взрослых. Таких, по разным данным, только в США от 10 до 50 % всех мужчин в возрасте от 14 до 50 лет. Плюс ещё женщины. В общем, ситуация хоть и гипотетическая, но потенциально крайне неприятная. И, к сожалению, это не просто паранойя.

Как это работает?

Мысль о том, что все крупные порносайты осуществляют слежку за своими пользователями, появилась у американского программиста и инженера Томаса Бретта. В своей статье с громким заголовком «Онлайн-порно может быть следующим скандалом в области приватности» он утверждает, что все крупнейшие ресурсы для взрослых осуществляют слежку за своими пользователями. Целей у такой слежки может быть несколько: например, для потенциальной возможности продать персональные данные некоторых пользователей третьим лицам, или для учёта предпочтений поклонников эротического видео при наполнении сайта новым контентом, что вроде бы и не так плохо.

Даже в режиме «Инкогнито» любой браузер оставляет так называемый «отпечаток» (footprint) — уникальный набор характеристик, среди которых есть информация о типе операционной системы, установленных плагинах, языковых настройках, часовой зоне, шрифтах и разрешении экрана, проверить которые можно здесь. Это означает, что при определённых манипуляциях те, кому нужна информация о вас, может связать «отпечатки», оставленные на PornHub, c «отпечатками» на Facebook. Ну, и тут уже проблем с идентификацией не будет.

Большинство посещаемых нами сайтов обладают определёнными инструментами отслеживания, при помощи которых информация о действиях пользователей может быть передана третьим лицам без их ведома. Зачастую, конечно, такие инструменты не преследуют каких-то криминальных целей. Это может быть установленный счётчик Google Analytics, который компании используют для анализа трафика, «социальные кнопки», авторизация при помощи аккаунтов социальных сетей, различные встроенные рекламные решения от партнёров и т. д.

Не секрет, что сервис AddТhis или продукты на его API (интегрирует кнопки социальных сетей на сайте и предоставляет владельцам ресурсов информацию о трафике) продаёт рекламодателям статистику посещений пользователей. И эта информация собирается даже в режиме «Инкогнито». У отечественных разработчиков технологии DPI (Deep Packet Inspection) – систем контроля и управлением трафика — есть свои аналогичные продукты.

Один из таких — технология компании iMarker. Она бесплатно устанавливает провайдерам своё оборудование (сейчас среди провайдеров-партнёров на сайте iMarker числятся «МГТС», «Акадо», «ТТК», «Ростелеком» и Qwerty), которое собирает статистику и отправляет рекламодателям (по некоторым данным, в числе заказчиков статистики от iMarker есть такие гиганты, как Kia и Asus). Несмотря на то, что все эти разработчики отмечают, что не имеют дела с персональными данными, подобного рода статистику и следы, оставляемые браузером, при большом желании можно проанализировать и проследить вплоть до конкретного IP-адреса и пользователя.

Представители PornHub заявили, что пользователь может не беспокоиться по поводу информации о нём: «Мы не запрашиваем какую-либо персональную информацию для бесплатных аккаунтов как то: настоящие имена или кредитные карты. Пользователи могут очистить историю просмотров в любое время. Мы не храним IP или логи серверов, однако используем Google Analytics. При этом данный сервис абсолютно безопасен. Он не хранит никакую персональную информацию пользователей». В PornHub считают предположения Томаса «абсурдными»: «Получать доступ к «отметкам» и сравнивать их с информацией о реальных людях — в этом есть что-то сенсационное».

В PornHub утверждают, что сервера сохраняют лишь сырые логи с IP-адресами, и только в течение очень ограниченного количества времени. Нам это показалось недостаточным, и мы решили провести небольшой эксперимент, установив приложение Ghostery, отслеживающее и блокирующее следящие элементы по желанию пользователя. В результате анализа нескольких ресурсов (PornHub, RedTube и 104Cam) выясняется: на всех сайтах данные пользователя передавались, в частности, в Google, Tumblr, а также в рекламные сервисы Pornvertising и DoublePimp. Журналисты издания Motherboard, которые провели схожий эксперимент, обращают внимание, что на сайтах вроде XVideos или XXNX по уходящему сторонним сайтам URL ролика, который смотрел тот или иной пользователь, достаточно легко узнать о его содержимом (например, http://www.site.com/view/gayporno). И только на PornHub и RedTube содержание видео пряталось за неким числовым URL (например, www.site.com/watch_viewkey=1234).

Насколько это страшно?

Критично к идее Томаса отнеслись не только представители порнокомпаний. Так, директор Фонда электронных рубежей (EFF) Купер Квентин обратил внимание, что заниматься обработкой, а затем сливом подобной информации не будет интересно ни одному хакеру. По словам Купера, последний с большой вероятностью украдёт данные кредитной карточки. Поэтому, считает глава EFF, предположения Томаса больше похожи на обычное паникёрство.

Вопрос сохранности личного пространства в данной проблеме усложняется тем, что многие порнокомпании, да и не только, в действительности не преследуют цель обработки косвенно персональных данных, несмотря на то, что всё-таки занимаются этим. Виной всему, как мы уже говорили выше, многочисленные решения по интеграции социальных кнопок, рекламных блоков и т.д., на дополнительные функции которых владельцы сайтов, как правило, не обращают никакого внимания. Пока на данный момент подобная практика не нарушает законодательства России, и подобные сервисы получают хорошую прибыль, продавая сведения о трафике. Однако в любой момент эти сведения могут попасть в руки злоумышленника.

Как себя обезопасить?

Варианты того, как обезопасить себя, известны давно. Пользоваться VPN, или прокси-сервером, или анонимайзерами, или TOR. Кроме того, можно установить плагины или приложения, блокирующие следящие элементы (например, уже использованный нами Ghostery, или антитрекинговый плагин Keep My Opt-Outs Plugin). Таких программных решений на самом деле на сегодняшний день десятки, и им посвящено множество исследований. Проблема в том, что блокирующая такую статистику программа зачастую может усложнить интернет-сёрфинг. Например, если воспользоваться Ghostery, находясь в сети «ВКонтакте», можно лишиться возможности делать репосты.

Почему это важно даже для тех, кто не смотрит порно?

Хотя бы потому что отслеживание данных пользователя происходит не только на сайтах для взрослых — порно оказалось самым явным примером. При этом, к примеру, 91% сайтов, которые содержат конфиденциальную информацию о состоянии здоровья американцев передают её третьим лицам без ведома пользователей. То есть в те моменты, когда человек хочет или должен скрывать информацию о себе, у него это не выйдет ни при каких обстоятельствах.

Facebook уже давно занимается трекингом пользователей, даже если те находятся офлайн или вообще удалили свою страницу: достаточно просто зайти на сайт с кнопкой Facebook. И пусть создатели сайтов и объясняют, что данные пользователей им не нужны. От осознания того, что за тобой следят, даже если ты предпринял все возможные меры предосторожности, становится неуютно.

Автор: Сергей Рязанов, Apparat.ru