Соцсеть в течение трех лет следила за сетевым трафиком и анализировала действия пользователей мессенджера. Опубликованные внутренние документы показывают, как это происходило.
Соцсеть в течение трех лет следила за сетевым трафиком и анализировала действия пользователей мессенджера. Опубликованные внутренние документы показывают, как это происходило.
Федеральный суд Калифорнии опубликовал документы, которые касаются тайной операции Facebook под кодовым названием «Project Ghostbusters». С 2016 года сотрудники компании следили за пользователями Snapchat, перехватывая и расшифровывая сетевой трафик между пользователями и серверами. Слежка была нужна Facebook, чтобы поддерживать свое конкурентное преимущество на рынке соцсетей.
Project Ghostbusters был частью программы In-App Action Panel (IAPP). Эта инициатива не ограничивалась Snapchat: вскоре Facebook следить за пользователями Amazon и Youtube, получая зашифрованный трафик. Компания пыталась анализировать, как пользователями взаимодействуют с конкурирующими платформами, несмотря на установленные этими сервисами барьеры шифрования.
Реализацией проекта занималась компания Onavo, которую Facebook приобрела в 2013 году. Для слежки был разработан специальный сервис, технология которого напоминает VPN. Решение Onavo — так называемые «комплекты» для iOS и Android, которые методом атаки Man-in-the-Middle перехватывали трафик для определённых поддоменов, «позволяя читать то, что в противном случае было бы зашифровано». «Комплекты» были скрытой частью VPN-сервиса, который Onavo предоставляла официально.
Атака посредника, или атака «человек посередине» — метод компрометации канала связи, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию. Для защиты от атак MitM рекомендуется использовать шифрование end-to-end encryption (например, HTTPS для веб-сайтов), внимательно проверять сертификаты безопасности, избегать подозрительных Wi-Fi сетей и использовать VPN для обеспечения дополнительного уровня шифрования данных.
Сервис Onavo стал «троянский конем» Facebook, позволяя отслеживать веб-активность пользователей соцсети под предлогом обеспечения безопасности. Согласно документам, над Project Ghostbusters работала команда из нескольких топ-менеджеров и более 40 юристов. В 2019 году после расследования TechCrunch компания официально закрыла подразделение Onavo и сервис Onavo VPN.
В документах содержится внутренняя переписка компании, в том числе письма Марка Цукерберга. В одном из них он подчеркивает важность аналитики Snapchat в связи с быстрым ростом мессенджера: «Всякий раз, когда кто-то задает вопрос о Snapchat, ответ обычно заключается в том, что, поскольку их трафик зашифрован, у нас нет аналитики от них. Учитывая, как быстро они растут, важно найти способ получения надежной аналитики. Может быть, написать собственное ПО. Нужно придумать, как это сделать».
Но в Facebook были и те, кто высказывал опасения по поводу этики и безопасности Project Ghostbusters. Некоторые сотрудники, в том числе Джей Парих, тогдашний руководитель отдела проектирования инфраструктуры Facebook, и Педро Канауати, тогдашний руководитель отдела обеспечения безопасности, утверждали, что конфиденциальность пользователей нарушается, независимо от полученного согласия.
«Я не могу придумать веского аргумента в пользу того, почему это нормально. Ни один сотрудник службы безопасности никогда не одобрит этот метод независимо от того, согласится ли общественность. Широкая публика просто не знает, как эта штука работает», — написал Канауати в электронном письме, включенном в материалы дела.
В 2020 году Facebook получила коллективный иск от имени Сары Граберт и Максимилиана Кляйна. Они обвинили компанию, что та вводила пользователей в заблуждение относительно сбора данных и извлекала их обманным путем. В исковом заявлении подчеркивалось, что Facebook использовала эту информацию в несправедливой конкуренции и нарушила USA Freedom Act — закон, который запрещает прослушивание разговор и чтение переписки другого человека, кроме как по решению суда. Суд частично удовлетворил требования обвинителей.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.