Американскую маркетинговую компанию HYP3R уличили в сборе огромного объема данных из Instagram. Эту информацию стартап использует для создания подробных профилей передвижения и интересов инстаграмеров. Об истории «слива данных» рассказало издание Business Insider.
Совпадение в виде лазеек и слабого контроля со стороны Instagram позволило «проверенному» партнеру компании неправомерно выкачивать огромные объемы общедоступных данных, создавать подробные записи о физическом местонахождении пользователей, личных профилях и иметь доступ к фото и стори. История произошла в 2018 году, и в итоге компания Instagram прекратила сотрудничество с HYP3R и внесла дополнительные изменения для защиты данных пользователей.
Instargam и последствия Cambridge Analytica
«Действия HYP3R не были санкционированы и нарушают наши правила. В результате мы удалили их с нашей платформы. Мы также внесли изменения в продукт, которые должны обезопасить другие компании от стороннего доступа к страницам с местоположениями», — говорится в заявлении Instagram.
Ситуация с HYP3R развернулась на фоне скандала с Cambridge Analytica, компанией, использовавшей данные пользователей Facebook в политических рекламных кампаниях. До этого подобная ситуация в Instagram не представлялась возможной, к тому же, меры по проверке конфиденциальности, потрясшие Facebook, обошли Instagram стороной. И зря, ведь миллионы фотографий семейных каникул и обедов в ресторанах — ценное сырье для сторонних компаний, которые соберут информацию, на использование которой пользователи никогда бы не согласились.
Журналисты Business Insider поговорили с бывшими сотрудниками HYP3R, чтобы ознакомиться с публичными документами и маркетинговыми материалами компании. Общий объем данных Instagram, полученных HYP3R, остается неизвестным, хотя компания публично заявила, что обладает «уникальным набором данных из сотен миллионов потребителей с наибольшей ценностью в мире», и, по словам источников, более 90% ее данных получены из Instagram. Как утверждают экс-сотрудники компании, HYP3R считывал более миллиона сообщений в Instagram в месяц.
Безопасность данных — хроническая проблема для открытых платформ в интернете. И Instagram — не единственный сервис, подвергшийся хищению данных, как и HYP3R — наверняка не единственный бизнес, собирающий данные пользователей. Однако характер деятельности HYP3R вызывает серьезные вопросы о степени осмотрительности, которую Instagram и материнская компания соцсети, Facebook, проводят в отношении партнеров, использующих платформу, а также о своих собственных процедурах защиты пользовательских данных.
HYP3R отрицает нарушение правил Instagram, утверждая, что такой доступ к публичным данным в Instagram является законным и оправданным. В компании заявили, что уверены в том, что любые проблемы с Instagram будут решены в ближайшее время.
Генеральный директор Карлос Гарсия в своем заявлении по электронной почте отметил: «HYP3R является и всегда была компанией, которая обеспечивает настоящий маркетинг, соответствующий правилам конфиденциальности потребителей и Условиям предоставления услуг в социальных сетях. Мы не видим контент или информацию, которые не могут быть доступным для всех в сети».
Стартап HYP3R, основанный в 2015 году, описывает себя как «основанную на местоположении маркетинговую платформу, которая помогает предприятиям открывать геосоциальные данные для привлечения ценных клиентов». Проще говоря, HYP3R — маркетинговая компания, которая отслеживает сообщения в социальных сетях, отмеченные в реальных местах. Затем она позволяет своим клиентам напрямую взаимодействовать с этими сообщениями с помощью своих инструментов и использует эти данные для релевантности пользователей социальных сетей.
Зачем все делалось
Деятельность стартапа привлекла десятки миллионов долларов, в том числе в сентябре 2018 года финансирование в размере 17,3 миллиона долларов от спонсоров, включая Silicon Valley Bank и Thayer Ventures. HYP3R получил множество наград, в том числе «Самая инновационная компания» от Fast Company в 2019 и 2018 годах, и «Каннские львы» в 2017 году. Он насчитывает среди своих партнеров такие известные бренды, как Marriott international, Pepsi, Hard Rock и 24 Hour Fitness, а также Jim.
В результате компания собрала базу данных из тысяч мест, включая отели, казино, круизные лайнеры, аэропорты, фитнес-клубы, стадионы и торговые центры по всему миру, а также больницы, бары и рестораны.
Если пользователь делал пост из одной из этих локаций, он, без его ведома, сохранялся в системах HYP3R на неопределенный срок вместе с другой информацией, в том числе с ссылкой на фотографию своего профиля, описание и количество подписчиков.
Часть действий HYP3R с точки зрения Instagram ранее была легальной. Как и многие большие платформы, Instagram имеет API или интерфейс прикладного программирования, позволяющий разработчикам создавать сервисы, которые могут взаимодействовать с его платформой. До скандала с Cambridge Analytica Instagram позволял сторонним разработчикам искать общедоступные посты, опубликованные в определенных локациях. Но впоследствии Instagram начал отключать многие функциональные возможностей своего API, включая инструменты определения местоположения. Это и помешало деятельности HYP3R и других подобных компаний. При этом HYP3R публично приветствовал изменения API Instagram, заявив, что компания «понимает и приветствует изменения, которые Facebook делает для защиты конфиденциальности всех нас», и обещая, что его данные никогда не будут использоваться в политических целях. Но втайне компания приступила к созданию системы, которая могла бы игнорировать решение Instagram и в любом случае продолжать собирать данные, сообщили Business Insider источники.
Собранные HYP3R данные Instagram также могут быть объединены с данными, собранными в других местах на платформах, таких как Salesforce и Adobe. Эти две компании, при этом, не отреагировали на запрос Business Insider прокомментировать, проверяли ли они HYP3R, перед тем, как вступать в партнерские отношения со стартапом.
Последствия
До раскрытия действий HYP3R компания публично обещала своим клиентам возможности, намного превосходящие то, что можно сделать через API Instagram. Согласно рекламе, HYP3R «выявляет всю социальную активность из любого места, независимо от хэштегов и упоминаний, так что вы никогда не упустите возможность поразить своих клиентов». Действующий же API Instagram позволяет пользователям только просматривать публичные посты, если они были упомянуты в нем, или извлекать некоторые посты с хэш-тегами с более строгими ограничениями.
Тем не менее, Facebook включил HYP3R в список своих маркетинговых партнеров, компаний, которые «могут дать вам превосходную информацию и данные для принятия лучших маркетинговых решений».
Представитель Instagram заявлял, что компания периодически проверяет партнеров по маркетингу Facebook, чтобы убедиться в их соответствии.
HYP3R оспаривает обвинения в нарушении условий обслуживания Instagram и политики данных. Однако представитель Instagram заявил, что действия стартапа нарушают правила компании по автоматическому сбору данных.
Главная загадка этой истории — почему в Instagram не смогли сразу обнаружить массовый взлом со стороны HYP3R. Но, как и многие другие бреши, история с HYP3R показала еще один путь возможной утечки данных из соцсетей.
Фото: Mashable
