Ihmejuttuja

Pekka Siiriäinen 17.3.2016 08:18

Vuodatko tietoa tietämättäsi?

Björn Fagerholm
Pekka Siiriäinen on Mirumin Lead Developer.

Yllätyin, miten järkyttyneitä jotkut, muuten kyllä hyvin "sometietoiset" kollegani olivat Facebookin rajapinnan datan luonteesta ja määrästä.

Digipainotteisessa mainostoimistossa työskentelee porukkaa, joka koostuu suhteellisen valveutuneista sosiaalisen median käyttäjistä - ainakin jos vertailukohtana ovat ns. peruskäyttäjät. He tietävät, että palvelulle ei pidä kertoa itsestään liikaa.

Lisäksi he ymmärtävät, että kaikista intiimein materiaali pidetään piilossa muilta. Ainakin omasta mielestään heillä on totuudenmukainen kuva siitä, mikä data näkyy kenelle ja milloin.

Minua pyydettiin tutkimaan mitä käyttäjään liittyviä tietoa Facebookin rajapinnasta saa irti mahdollisen kampanjan konseptointia varten. Tein prototyypin, joka hakee lähes kaikki mahdolliset kentät. Katsoimme sitten yhdessä Facebookin Graph API:n tarjoamaa dataa.

Yllätyin, miten järkyttyneitä jotkut, muuten kyllä hyvin "sometietoiset" kollegani olivat datan luonteesta ja määrästä.

"Kampanjasovellus pyytää lupaa saada..."

Kyllä. Facebookin rajapinta pyytää käyttäjältä luvan ennen kuin sovellus käy kiinni hänen erinäisiin tietoihin. Ihmettelen tosin kuinka moni keskiverto netinkäyttäjä lukee pyynnöt ajatuksella läpi ennen "Salli"-napin painamista.

Ymmärtääkö hän, että itse asiassa kuka tahansa voi tehdä oman "Facebook-sovelluksen"? Facebook tekee parhaansa estääkseen räikeimpiä rajapintansa väärinkäytöksiä, mutta yritys tietää vain mitä tietoa sovellus saa käyttöönsä, ei mitä sillä datalla tehdään.

Listasin alle muutaman esimerkin tiedoista, jotka mikä tahansa sovellus saa kerättyä yhden tai parin "Salli"-klikkauksen jälkeen:

• kytkettyjen mobiililaitteiden mallit
• seksuaalinen suuntautuminen
• poliittinen kanta
• käyttäjän Facebook-sivut
• tapahtumat, joihin käyttäjä on ilmoittautunut
• perheenjäsenet
• tykkäykset
• kuvat (sekä omat, että muiden kuvat joihin käyttäjä on tägätty)
• paikat, joissa käyttäjä on käynyt
• kaikki käyttäjän julkaisemat viestit

Katso koko "user noden" kenttälista täältä.

Sovellus saattaa myös luoda sisältöä nimissäsi, jos annat siihen luvan.

Facebookin rajapinnan säännöt ja logiikat muuttuvat koko ajan. Ennen vuotta 2014 kolmannen osapuolen sovellus pystyi esimerkiksi lukemaan ja lähettämään yksityisviestejä käyttäjän nimissä. Lainsäädännöt ja tarpeeksi törkeät väärinkäytökset muokkaavat sosiaalisten palveluiden rajapintojen rajoituksia ja käytäntöjä.

Kokonaisuuksia pienistä osista

Kannattaa myös muistaa, että tarpeeksi iso määrä "tyhmältä" vaikuttavia tiedonmurusia saattaa toisiinsa liitettyinä muodostaa hyvinkin "fiksua" dataa.

Jos sovellus pääsee perustietojen lisäksi kiinni esimerkiksi viestihistoriaasi, voi se luoda sinusta huolestuttavan tarkan profiilin avainsanoja tai -lauseita analysoidessaan. Tämän lisäksi se voi piirtää arkimenoistasi ja matkoistasi todenmukaisen kartan.

Laskentatehon räjähdysmäinen kasvu ja entistä "tekoälymäisemmät" algoritmit nostavat ennen harmittomilta vaikuttaneiden tiedonjyvästen arvoa nopeasti.

Esimerkiksi murtovarkaat ovat käyttäneet somepalveluiden julkisia tietoja hyväkseen jo kauan – ei ole vaikea etsiä viestejä, jotka viittaavat tyhjään omakotitaloon. Tarvitaan vain isä tai äiti, joka kirjoittaa omalle lähiryhmälleen perheensä lomareissusuunnitelmista; milloin lähdetään, millä lennoilla matkustetaan, missä hotellissa asutaan ja milloin tullaan takaisin kotiin. Jo maalaisjärkikin sanoo, että näitä tietoja ei tulisi jakaa koko maailmalle.

Mutta jos isä tai äiti on kuukautta aiemmin asentanut hassunhauskan What kind of a turtle would you be? -testin Facebookissa ja antanut sovellukselle hyväksynnän pureutua henkilökohtaisiin tietoihin, voi harmittomalta vaikuttavan kilpparitestin tuntematon luoja automaattisesti luoda listan murtokohteista, joiden voi päätellä olevan tyhjillään merkityllä aikavälillä.

Meille sovellusten kehittäjille

Luodessamme sovelluksia, joissa käytetään hyväksi sosiaalisen median rajapintoja, meidän ammattilaisten tulisi pyrkiä avaamaan käyttäjälle mitä hänen tietoja haluamme käyttää ja mihin tarkoituksiin me niitä tallennamme/prosessoimme.

Kynnys antaa sovellukselle lupa käyttää tietoja madaltuu, kun aikomukset on selitetty rehellisesti ja tyhjentävästi. Älä siis tongi tietoja, joita projekti ei aidosti tarvitse.

TL;DR

Kehotan ottamaan sosiaalisten medioiden lupadialogit tosissaan. Poista sovellus käytöstä kun et enää tarvitse sitä.

Muista, että isotkin tekijät mokaavat tietoturvaan liittyvissä asioissa ajoittain. Ja jos luot sovelluksen, älä aliarvioi datan arvoa ja väärinkäytön uhkakuvia käyttäjän mielessä.

Kirjoittaja Pekka Siiriäinen on Mirumin foliohattuinen Lead Developer.

Kumppaniblogit

Kaupallinen yhteistyö

Yhteiskunta

23.08.2019 14:59

Kuntaliitto valitsi Milttonin

Suomen Kuntaliitto ry on valinnut Milttonin viestintä- ja markkinointipalvelujensa strategiseksi ja operatiiviseksi kumppaniksi.