Американську маркетингову компанію HYP3R викрили у зборі величезного обсягу даних з Instagram. Цю інформацію стартап використовує для створення докладних профілів пересування та інтересів інстаграмерів. Про історію «зливу даних» розповіло видання Business Insider.
Збіг у вигляді лазівок та слабкого контролю з боку Instagram дозволив «перевіреному» партнеру компанії неправомірно викачувати величезні обсяги загальнодоступних даних, створювати докладні записи про фізичне місцезнаходження користувачів, особисті профілі та мати доступ до фото та сторі. Історія сталася в 2018 році, і в підсумку компанія Instagram припинила співпрацю з HYP3R та внесла додаткові зміни для захисту даних користувачів.
Instargam та наслідки Cambridge Analytica
«Дії HYP3R були санкціоновані та порушують наші правила. В результаті ми видалили їх з нашої платформи. Ми також внесли зміни в продукт, які повинні убезпечити інші компанії від стороннього доступу до сторінок з місцями розташування», — йдеться у заяві Instagram.
Ситуація з HYP3R розгорнулася на тлі скандалу з Cambridge Analytica, компанією, яка використала дані користувачів Facebook в політичних рекламних кампаніях. До цього подібна ситуація в Instagram не видавалася можливою, до того ж, заходи з перевірки конфіденційності, вразили Facebook, обійшли Instagram стороною. І дарма, адже мільйони фотографій сімейних канікул та обідів в ресторанах — цінна сировина для сторонніх компаній, які збирають інформацію, на використання якої користувачі ніколи б не погодилися.
Журналісти Business Insider поговорили з колишніми співробітниками HYP3R, щоб ознайомитися з публічними документами і маркетинговими матеріалами компанії. Загальний обсяг даних Instagram, отриманих HYP3R, залишається невідомим, хоча компанія публічно заявила, що володіє «унікальним набором даних з сотень мільйонів споживачів з найбільшою цінністю у світі», і, за словами джерел, понад 90% її даних отримані з Instagram. Як стверджують екс-співробітники компанії, HYP3R зчитував понад мільйон повідомлень в Instagram на місяць.
Безпека даних — хронічна проблема для відкритих платформ в інтернеті. І Instagram — не єдиний сервіс, що піддався розкрадання даних, як і HYP3R — напевно не єдиний бізнес, який збирає дані користувачів. Однак характер діяльності HYP3R викликає серйозні запитання про ступінь обачності, яку Instagram і материнська компанія соцмережі, Facebook, проводять відносно партнерів, що використовують платформу, а також про свої власні процедурах захисту призначених для користувача даних.
HYP3R заперечує порушення правил Instagram, стверджуючи, що такий доступ до публічних даних в Instagram є законним та виправданим. У компанії заявили, що впевнені в тому, що будь-які проблеми з Instagram будуть вирішені найближчим часом.
Генеральний директор Карлос Гарсія в своїй заяві по електронній пошті зазначив: «HYP3R є і завжди була компанією, яка забезпечує справжній маркетинг, відповідний правилам конфіденційності споживачів та умовам надання послуг в соціальних мережах. Ми не бачимо контент або інформацію, які не можуть бути доступним для всіх в мережі».
Стартап HYP3R, заснований в 2015 році, описує себе як «маркетингову платформу, яка базується на геоположенні та допомагає підприємствам відкривати геосоціальні дані для залучення цінних клієнтів». Простіше кажучи, HYP3R — маркетингова компанія, яка відстежує повідомлення у соціальних мережах, відмічені в реальних місцях. Потім вона дозволяє своїм клієнтам безпосередньо взаємодіяти з цими повідомленнями за допомогою своїх інструментів та використовує ці дані для релевантності користувачів соціальних мереж.
Навіщо все робилося
Діяльність стартапу залучила десятки мільйонів доларів, зокрема у вересні 2018 року фінансування в розмірі 17,3 мільйона доларів від спонсорів, включаючи Silicon Valley Bank і Thayer Ventures. HYP3R отримав безліч нагород, в тому числі «Найбільш інноваційна компанія» від Fast Company в 2019 та 2018 роках, і «Каннські леви» у 2017 році. Він налічує серед своїх партнерів такі відомі бренди, як Marriott international, Pepsi, Hard Rock і 24 Hour Fitness, а також Jim.
В результаті компанія зібрала базу даних з тисяч місць, включаючи готелі, казино, круїзні лайнери, аеропорти, фітнес-клуби, стадіони та торгові центри по всьому світу, а також лікарні, бари і ресторани.
Якщо користувач робив пост з однією з цих локацій, він, без його відома, зберігався в системах HYP3R на невизначений термін разом з іншою інформацією, в тому числі з посиланням на фотографію свого профілю, опис і кількість передплатників.
Частина дій HYP3R з точки зору Instagram раніше була легальною. Як і багато великих платформ, Instagram має API або інтерфейс прикладного програмування, що дозволяє розробникам створювати сервіси, які можуть взаємодіяти з його платформою. До скандалу з Cambridge Analytica Instagram дозволяв стороннім розробникам шукати загальнодоступні пости, опубліковані у певних локаціях. Але згодом Instagram почав відключати багато функціональних можливостей свого API, включаючи інструменти визначення місця розташування. Це і завадило діяльності HYP3R і інших подібних компаній. При цьому HYP3R публічно привітав зміни API Instagram, заявивши, що компанія «розуміє і вітає зміни, які Facebook робить для захисту конфіденційності всіх нас», і обіцяючи, що його дані ніколи не будуть використовуватися в політичних цілях. Але потай компанія приступила до створення системи, яка могла б ігнорувати рішення Instagram і в будь-якому випадку продовжувати збирати дані, повідомили Business Insider джерела.
Зібрані HYP3R дані Instagram також можуть бути об’єднані з даними, зібраними в інших місцях на платформах, таких як Salesforce і Adobe. Ці дві компанії, при цьому, не відреагували на запит Business Insider прокоментувати, чи перевіряли вони HYP3R, перед тим, як вступати у партнерські відносини з стартапом.
Наслідки
До розкриття дій HYP3R компанія публічно обіцяла своїм клієнтам можливості, які значно переважали те, що можна зробити через API Instagram. Згідно з рекламою, HYP3R «виявляє всю соціальну активність з будь-якого місця, незалежно від хештегів та згадок, так що ви ніколи не пропустите можливість вразити своїх клієнтів». Натомість чинний API Instagram дозволяє користувачам тільки переглядати публічні посади, якщо вони були згадані в ньому, або витягувати деякі пости з хеш-тегами з більш строгими обмеженнями.
Проте, Facebook включив HYP3R до список своїх маркетингових партнерів, компаній, які «можуть надати вам чудову інформацію та дані для прийняття найкращих маркетингових рішень».
Представник Instagram заявляв, що компанія періодично перевіряє партнерів по маркетингу Facebook, щоб переконатися в їх відповідності.
HYP3R заперечує звинувачення в порушенні умов обслуговування Instagram і політики даних. Однак представник Instagram заявив, що дії стартапу порушують правила компанії з автоматичного збору даних.
Головна загадка цієї історії — чому в Instagram не змогли відразу виявити масовий злом з боку HYP3R. Але, як і багато інших зливів, історія з HYP3R показала ще один шлях можливого витоку даних з соцмереж.
Фото: Mashable
