Коммерческие компании рассказали о масштабах слежки в Интернете

Поводом для разоблачительной статьи в издании Coda стали обвинения, выдвинутые в адрес Facebook об утечке личных данных пользователей. Издание собрало примеры всего лишь коммерческой слежки за гражданами, по сравнению с которыми скандал с Facebook — новость уровня газеты "Сельская новь".

"На 80% всех сайтов Интернета стоят так называемые "трекеры" - специальные программные коды, которые отслеживают действия посетителей, - сообщает Сoda. - В 2017 году самым распространенным "трекером" в мировом масштабе был сервис Google Analytics (46,4% всех сайтов). Facebook Connect работает на 22% всех ресурсов, Twitter Button — на 9%. В России почти половину ресурсов оккупировал сервис "Яндекс.Метрика", вторыми по охвату стали спецустройства от Mail.Ru Group, которой принадлежит одноименный почтовый сервис и соцсети "ВКонтакте" и "Одноклассники". Кроме того, сбор информации ведется через трекеры рекламных сетей.

Учетом этих невидимых шпионов занимается сервис Ghostery — специальное расширение для браузера, которое любого, даже самого спокойного человека сделает параноиком. Например, по данным Ghostery, на сайте либерального Guardian работают три уникальных трекера, в том числе Facebook.

Ирония мира тотальной слежки: о том, кто прочитают очередную разоблачительную статью про Cambridge Analytica, Guardian по умолчанию докладывает команде Цукерберга.

У не менее критичного "Дождя" работают восемь трекеров, причем не только Facebook, но и сервиса Liveinternet Германа Клименко — консервативного советника президента Владимира Путина.

В интернет-приемной сайта Следственного комитета, где мы, по идее, должны оставаться один на один с нашим заявлением, за нами следят "Яндекс", Liveinternet, рекламная компания "Видео Интернешнл" и ребята из стартапа Pluso — сервиса по установке красивых кнопок "Поделиться в соцсетях". Портал МВД рапортует о своих посетителях вражескому Twitter, министерства обороны - не менее враждебному Google. Полностью вычищены от сторонних глаз только сайты ФСБ и СВР: там любят наблюдать за гражданами самостоятельно.

Вы приходите домой, заказываете пиццу и включаете сериал. Однако смена местоположения не означает, что вы скрылись от многочисленных сторонних наблюдателей: они по-прежнему успешно идентифицируют вас как того самого человека, который днем на работе читал про скандал с Cambridge Analytica.

Трекеры передают информацию о cookies — информации о поведении пользователя на конкретном сайте. Cookies привязаны к браузеру на определенном устройстве — стационарном компьютере, ноутбуке или мобильном телефоне. Таким образом, в теории вы с пиццей дома и вы со статьей про Facebook на работе — разные люди или, точнее, разные cookies. Однако у следящих за нами есть целый набор инструментов, как совместить воедино разрозненные данные.

Google, "Яндекс" и Mail.Ru Group видят, с каким устройств человек заходит в свою почту, складывают все наши cookies на полочку, а потом соединяют с данными, поступившими через трекеры. Нет проблем и у Facebook: мы практически всегда остаемся залогиненными в наш аккаунт, чтобы не пропустить свежий "лайк" или сообщение. Например, вы покупаете билет в Иркутск на сайте "Аэрофлота", а потом внезапно видите у себя в ленте Instagram рекламу местной гостиницы. Как такое возможно? Просто "Аэрофлот" установил у себя трекер Facebook, который сначала узнал, куда вы летите, а потом догнал вас в принадлежащем ему Instagram.

Впрочем, не обязательно быть монстром IT-индустрии, чтобы знать о вас все. Частные DMP-платформы (от английского data management platform) и крупные рекламные компании аккумулируют от нескольких сотен до одного миллиарда cookies — при том что всего их в Рунете насчитывается около 1,8 миллиарда. Все наше поведение складывается в так называемые "аудиторные сегменты" — список пристрастий и материальных характеристик. Можно только удивиться их глубине — достаточно зарегистрироваться на платформе myTarget от Mail.Ru Group, и с ее помощью в два клика старгетировать рекламу для кого угодно "ВКонтакте" или в "Одноклассниках".

От вполне рыночных сегментов ("клиенты интернет-магазинов косметических товаров" или "владельцы телефонов Apple") возможности таргетирования растут до деталей личной жизни (планирует свадьбу, ждет ребенка, имеет ребенка от 1 до 3 лет) и сложных психических характеристик — например, "интроверты" (6,8 млн человек в сегменте), "экстраверты" (6,8 млн), "склонные к импульсивности" (6,8 млн) или "склонные к самоконтролю" (6,6 млн)...

Для составления многоуровневых портретов не обязательно иметь доступ к cookies. Любой мало-мальски образованный программист может написать программу для так называемого "парсинга" — сбора общедоступной информации специальными ботами. Эти боты путешествуют по одной или нескольким соцсетям и складируют по полочкам все публичную активность человека — имя и фамилия, возраст, его комментарии, геометки, лайки и даже телефон с e-mail’ом, если вы по неосторожности указали их где-то. С Tinder вопрос решается просто: вас "свайпит" не живой человек, а все тот же робот.

Например, московская компания Social Data Hub, которая активно работает по заказу государственных органов, рассказывает на своем сайте, что обладает слепками российского сегмента соцсетей за последние 7 лет. В их число, помимо "ВКонтакте", и "Одноклассников", входят Facebook, Instagram, Twitter, YouTube и Tinder. К этой информации добавляются также наши отзывы на Booking.com и Airbnb, а также объявления на Avito.

"Парсинг" настолько распространенная и доступная услуга, что каждый может проверить на себе его возможности. Например, на сайте soc-soft.com можно заказать список участников любой группы в Facebook: если нам нужны только ID, то придется заплатить 25 копеек за аккаунт. Если, помимо ID, нужны имя, фамилия, регион проживания и, при возможности, телефон с днем рождения, то тогда цена вырастает до 1 рубля. Минимальный заказ — 1000 аккаунтов...

Помимо парсинга, есть еще один способ коммерческой слежки, никак не связанной с cookies. Еще несколько лет назад большинство крупных провайдеров, включая "Ростелеком" и МГТС, продавали сторонним компаниями так называемый clickstream — весь поток интернет-трафика абонентов, за исключением защищенных https-соединений. В 2015 году Роскомнадзор прошел по операторам с косой в руках, оштрафовав всех, кто работал на рынке clickstream. Тогда-то и выяснилось, что на нем зарабатывало и ПАО "Центральный телеграф".

ПАО "Центральный телеграф" обеспечивает доступ в Интернет для таких структур, как администрация президента, министерство обороны и МВД, указано на сайте самой компании. Покупателем столь солидного clickstream было ЗАО "Орбита", долей в которой владела американо-сингапурская компания Phorm.

Таким образом, несколько лет трафик наших чиновников, так пекущихся о безопасности Интернета, сливался на сторону.

Вы ходите по торговому центру и думаете: "Ну, хорошо, Google или "Яндекс", может, увидят, что я здесь был, но не узнают, что я здесь делал". На самом деле, все ваши метания от джинсов Colin’s к брюкам Reserved видны операторам общественного Wi-Fi — даже если вы не подключаетесь к их сети.

Современные роутеры оборудованы специальными "маячками", которые фиксируют идентификаторы всех телефонов (mac-адреса) со включенной функцией "поиск Wi-Fi". Точность такова, что, например, владелец конкретного магазина в огромном торговой центре может установить, кто именно заходил к нему, в каком отделе находился и сколько времени провел. Эта информация нужна для того же таргетирования рекламы: и "Яндекс", и Mail.Ru Group принимают список mac-адресов в качестве клиентской базы для открутки рекламы. В таком случае собственники магазина могут проверить эффективность кампании, проанализировав, кто из тех, кому показали ролик в Интернете, в итоге пришел за покупкой.

Самая полная информация о наших перемещениях, конечно же, есть у АО "МаксимаТелеком" — оператора бесплатного Wi-Fi в метро Москвы и Санкт-Петербурга. Стандартный набор характеристик каждого своего клиента компания случайно раскрыла сама: недавно программист Владимир Серов обнаружил, что до последнего времени в коде страницы авторизации указывались такие параметры, как пол, примерный возраст, семейное положение, уровень дохода, точки стандартного маршрута "дом — работа".

"МаксимаТелеком" не передает собранные данные на сторонние площадки, в основном монетизируя их в своей рекламной сети. Рекламодатель может прийти к ней с базой своих клиентов, а та найдет их в метро и открутит ролики в тот момент, когда они попробуют подключиться к бесплатной сети. Например, в 2017 году сеть пекарен "Хлеб насущный" передала "МаксимаТелеком" 50 тысяч телефонных номеров своих клиентов, который оформили карты лояльности, но перестали приходить за выпечкой. Им показали рекламу в сети, и 2% вскоре пришли за покупками...

Вы прочитали, ужаснулись, сменили место жительства и поклялись больше никогда не выходить в Интернет из дома. Похвальное желание, однако от тотальной слежки оно вас не спасет.

Сотовые операторы видят местоположение своих клиентов с точностью до нескольких десятков метров, измеряя расстояние от ближайшей базовой станции. Эта информация активно монетизируется ими, например, в при оказании услуг скоринга — оценке потенциального заемщика по заказу финансовых организаций. С учетом строгих требований закона "О связи", напрямую операторы не раскрывают информацию об абонентах. Банки отправляют им номера мобильных телефонов, а затем обратно приходят таблицы с числовыми значения — ответами на поставленные вопросы.

Например, для того, чтобы понять, настоящий ли домашний адрес оставил заемщик, используется следующая формулировка: "Абонентское устройство клиента в ночное время создавало нагрузку на базовые станции в районе, совпадающем с указанным адресом". В ответ оператор присылает либо цифру 0 ("нет"), либо 1 ("да"). Аналогичным образом раскрывается размер ежемесячных платежей на связь, частота смены мобильного устройства, частота использования услуг связи в роуминге.

Если размер ежемесячных платежей за связь — не самый красноречивый показатель финансового состояния человека, то почти все о его доходах скажут его sms, которые он получает от банков и интернет-магазинов. Услуги рассылки информационных сообщений оказывают специальные технологические платформы: никакой банк не будет заключать отдельные договора с каждым из сотовых операторов. Несколько таких платформ известны на рынке данных тем, что анализируют проходящие через них sms и монетизируют эту информацию. Кто-то делает это более-менее легально: у MFMS есть своеобразный "котел", в который банки, сотрудничающие с этой платформой, сбрасывают все информационные sms своих клиентов.

Покопавшись в этом котле, любая финансовая организация, подключенная к услуге, сможет быстро оценить, сколько реально зарабатывает человек и как он эти деньги тратит.

Впрочем, официально речь идет об обезличенной информации. Все игроки рынка данных в принципе любят подчеркивать, что их не интересует конкретный человек, а их совокупность, объединенная общими признаками — интересом к конкретному товару, местом жительства или уровнем дохода. А на вопрос, можно ли спрятаться от коммерческой слежки, обычно с улыбкой отвечают: "Это практически невозможно".

"Рассекреченность" технологий слежки, доступных сегодня каждому коммерсанту средней руки поучительна: она позволяет догадаться, что и у полиции, спецслужб - причём, как своей страны так и любой другой сегодня в арсенале как минимум не меньшие возможности, а благодаря глобальности Интернета наблюдение можно вести за любой точкой земного шара из любой другой его точки.