Outils de boîte aux lettres : une menace pour la confidentialité et la sécurité des données des consommateurs.

Publié: 2021-08-18

Le sujet de plus en plus controversé de la confidentialité et de la sécurité des données des consommateurs a récemment été mis à l'honneur dans un article du New York Times critiquant les pratiques commerciales utilisées par Slice, le propriétaire de l'application de gestion des abonnements par courrier électronique Unroll.me, et Uber. L'article révélait que Slice avait vendu les données des consommateurs de Unroll.me à la célèbre société de covoiturage.

« Uber a consacré des équipes à ce que l'on appelle la veille concurrentielle, en achetant des données à un service d'analyse appelé Slice Intelligence. À l'aide d'un service de résumé d'e-mails qu'il possède nommé Unroll.me, Slice a collecté les reçus Lyft envoyés par e-mail de ses clients à partir de leurs boîtes de réception et a vendu les données anonymisées à Uber.

Alors que le PDG de Unroll.me, Jojo Hedaya, a présenté des excuses, cela n'a pas satisfait certains clients, et les sections de commentaires sur divers sites Web se sont réchauffées car certains clients ont demandé que leurs données soient détruites.

Mais il y a un problème.

Unroll.me et d'autres outils comme eux peuvent se réserver le droit de conserver indéfiniment vos données de messagerie, et posséder ce type de données est ce qui rend des entreprises comme Unroll.me (Slice) si précieuses.

Par exemple, dans une réponse à l'article Unroll.me sur Y Combinator, un contributeur a déclaré : « Une grande partie de l'achat de Slice Unroll.me était pour l'accès à ces archives de courrier électronique. Plus précisément, ils voulaient rechercher les tendances des mots clés et les reçus des achats en ligne.

Et ce que la plupart des consommateurs ne réalisent pas, c'est que ce type de collecte et de vente de données se produit également avec d'autres sociétés d'outils de messagerie (par exemple, Boxbe d'eDataSource et OtherInbox and Organizer de Return Path). Nous avons déjà couvert certains de ces outils dans notre blog La vérité sur les données du panneau de messagerie .

Pourquoi les consommateurs transmettent-ils volontairement leurs données de messagerie ?

Lisez-vous les conditions et les politiques de confidentialité de chaque service en ligne que vous utilisez ?

Selon l'étude récente The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services , les chercheurs ont découvert que 86 % des sujets de test passaient moins d'une minute à lire les conditions d'utilisation, et 97 % passaient moins plus de cinq minutes. De plus, moins de 2 % ont remarqué qu'en acceptant les conditions d'utilisation, ils « fournissaient en fait un premier-né » en guise de paiement pour accéder à l'application de test.

Comme la plupart des consommateurs, nous supposons que les utilisateurs d'outils de boîte aux lettres gratuits lisent rarement les politiques qu'ils acceptent. Mais le vieil adage reste vrai : si vous ne payez pas pour utiliser un produit (newsflash), vous (et vos données) êtes le produit.

Chemin de retour eDataSource Menace pour la confidentialité et la sécurité des données des consommateurs

Utilisateurs d'outils de messagerie gratuits : vous (et vos données) êtes le produit.

La vétéran de l'industrie de la messagerie, Laura Atkins, a récemment pris à partie les outils de boîte aux lettres et l'industrie des données de panneau de messagerie concernant les risques de sécurité pour les utilisateurs. Et en réponse aux préoccupations d'Atkin, Dennis Dayman, responsable de la confidentialité de Return Path, a fait ce commentaire :

« Notre flux d'inscription indique clairement que nous utilisons les données des utilisateurs à des fins d'études de marché, mais de manière anonymisée et agrégée. Nous faisons cette déclaration dans un anglais simple et concis au moment de l'enregistrement - pas enfouis dans des conditions d'utilisation cliquables qu'aucun utilisateur ne verra jamais. "

Mais voici comment se lit la page d'inscription de l'organisateur appartenant à Return Path :

« En offrant ce service, nous collectons et partageons certaines informations sur les messages électroniques non personnels (par exemple, les e-mails commerciaux). Ces données nous aident à mieux comprendre le comportement des consommateurs et nous aident également à améliorer l'écosystème des e-mails en comprenant mieux comment les gens interagissent avec les e-mails non personnels qu'ils reçoivent.

Bien que nous soyons d'accord avec Return Path's Dayman sur le fait que les utilisateurs devraient recevoir une explication en « anglais simple » de ce que leurs outils feront avec les données des clients sans avoir besoin de lire une longue politique de confidentialité, nous pensons que la copie du site Web de l'organisateur ne répond pas à ce besoin.

Nous avons donc fait la chose que la plupart des utilisateurs d'outils de messagerie ne font probablement jamais : lire la politique de confidentialité des données du chemin de retour d' environ 4 653 mots .

Remarque : Nous ne sommes pas des avocats, veuillez donc en consulter un si vous souhaitez un avis juridique concernant l'une des informations discutées dans ce blog.

Enfouis dans la politique de confidentialité, nous avons découvert que l'outil collecte des « messages commerciaux, transactionnels et relationnels » (Informations sur l'utilisation du service) – non, pas seulement du courrier commercial. Et les « messages relationnels » sont-ils des courriels personnels ? Selon le site Web, l'outil est axé sur les e-mails non personnels. Malheureusement, après plusieurs lectures de cette section dans la politique, nous n'avons pas réussi à trouver une explication claire du terme.

Les sections concernant les informations d'identification non personnelles collectées et vendues à des tiers (Informations sur l'utilisation du service) sont répertoriées ailleurs dans la politique. Les e-mails peuvent être stockés indéfiniment (Rétention des informations personnelles) (Informations agrégées) et que vos données peuvent être vendues à une autre société (Changement de contrôle/Transfert d'actifs) à tout moment. Qu'advient-il de vos données si une autre entreprise acquiert Return Path ? Ce n'est pas clair pour nous.

Voyez-vous ces informations communiquées en « anglais simple » ici :

Application de messagerie d'organisateur de Return Path

Source : organisateur du chemin de retour

Nous non plus.

La vente de reçus Lyft n'est que la pointe de l'iceberg

La vente de données Unroll.me à Uber a bouleversé de nombreuses personnes, mais cela n'effleure même pas la surface de la collection plus large de données vendues ailleurs.

Par exemple, Return Path propose plusieurs outils de messagerie gratuits aux consommateurs et « collecte des données détaillées sur les reçus des consommateurs à partir d'un large éventail de sources » pour montrer que « les données sur les reçus au niveau de l'article peuvent vous montrer ce que les consommateurs font réellement », aurait collecté des données sur les paiements, banques, commerçants, e-commerce, etc. :

Chemin de retour Insights sur les consommateurs Problèmes de confidentialité et de sécurité

Source : Perspectives des consommateurs sur le chemin de retour

Sur le site Web de Return Path, juste au-dessus de cette image, et au moment de ce blog, il était écrit « Return Path offre des données sur les consommateurs comme vous n'en avez jamais vues auparavant ». Si le graphique ci-dessus est une représentation précise des données que Return Path collecte et vend, leur collection « Consumer Insight » va bien au-delà des reçus Lyft. Devis d'assurance, relevés en ligne, historique des achats, habitudes de visionnage de Netflix, changement de fournisseur de téléphonie… Est-ce le type d'informations que les consommateurs envisageaient de partager lorsqu'ils s'inscrivaient à un outil de messagerie gratuit ?

Ironiquement, il semble que les outils de messagerie eux-mêmes prétendant améliorer la productivité des utilisateurs et vous aider à éviter le spam peuvent en fait avoir leurs données achetées et analysées pour informer davantage, un meilleur spam (ou un meilleur spam) sur la base des informations collectées à partir des comptes de messagerie de l'utilisateur.

N'oubliez pas que si vous utilisez un outil de messagerie gratuit, vous (et vos données) êtes le produit.

Les outils de messagerie tiers peuvent poser un risque de sécurité majeur

Le message Y Combinator a également allégué des problèmes antérieurs de sécurité chez Unroll.me :

« J'ai travaillé pour une entreprise qui a failli acquérir Unroll.me. À l'époque, il y a plus de trois ans, ils avaient conservé une copie de chacun de vos e-mails que vous avez envoyés ou reçus dans le cadre de leur service. Ces e-mails étaient conservés dans une série de compartiments S3 mal sécurisés.

Des compartiments S3 mal sécurisés ? Conserver une copie de chaque e-mail ? Peu importe si c'est envoyé ou reçu? Si cela est vrai, cela pourrait signifier que le stockage S3 de Unroll.me regorge de reçus d'achat, de réinitialisations de mot de passe et qui sait quel type de messages personnels. Même les messages envoyés sans aucun rapport avec l'utilisation de l'outil peuvent être stockés.

Et qu'en est-il des identifiants de connexion ? Bien que certains fournisseurs (Gmail, Yahoo, Outlook) fournissent une authentification OAuth, AOL et Apple (icloud.com) ne le font pas, et ces applications de messagerie vous demandent vos identifiants de connexion, y compris votre mot de passe, pour utiliser le service. Alors que toutes les entreprises affirment suivre les meilleures pratiques standard en matière de sécurité, les violations de données sont devenues monnaie courante dans de nombreuses sociétés de logiciels.

Plusieurs sources ont souligné que certains de ces outils demandent un accès complet en lecture et en écriture à votre compte. Cela signifie que l'application, ou toute personne susceptible de la violer, peut avoir le champ libre pour gérer votre boîte de réception comme bon lui semble.

Comment empêcher les outils de messagerie de collecter vos données de messagerie

Si vous êtes un utilisateur de Unroll.me, Boxbe, Organizer ou d'autres outils de messagerie et que vous souhaitez révoquer leur capacité à collecter, stocker et vendre vos données, voici les instructions pour désactiver leur accès :

  • Gmail : visitez la page de sécurité et accédez à « Applications et sites connectés » sous « Connexion et sécurité » dans le menu de gauche. Cliquez sur le service que vous souhaitez supprimer et il affichera le bouton bleu "Supprimer". Répondez « Oui » à la question « Voulez-vous vraiment supprimer l'accès ? »
  • Outlook : utilisation de compléments dans Outlook.com ou Outlook sur le Web
  • Yahoo! : Supprimer l'autorisation d'une application tierce

Pour les utilisateurs qui ont partagé leurs identifiants de connexion de messagerie avec un outil de messagerie, vous devez immédiatement modifier le mot de passe de votre compte de messagerie.

Nous encourageons également les utilisateurs à contacter le propriétaire de l'outil et à demander des éclaircissements sur si et comment vos informations personnelles (par exemple, messages transactionnels, messages personnels, identifiants de connexion) sont stockées, ainsi qu'un lien vers la section de leur politique de confidentialité leur permettant de le faire.