Strumenti per le cassette postali: una minaccia per la privacy e la sicurezza dei dati dei consumatori.

Pubblicato: 2021-08-18

L'argomento sempre più controverso della privacy e della sicurezza dei dati dei consumatori è stato recentemente sotto i riflettori in un articolo del New York Times in cui criticava le pratiche commerciali utilizzate da Slice, il proprietario dell'applicazione di gestione degli abbonamenti e-mail Unroll.me, e Uber. L'articolo ha rivelato che Slice ha venduto i dati dei consumatori da Unroll.me alla famosa società di condivisione di corse.

“Uber ha dedicato i team alla cosiddetta intelligenza competitiva, acquistando dati da un servizio di analisi chiamato Slice Intelligence. Utilizzando un servizio di raccolta delle e-mail di sua proprietà chiamato Unroll.me, Slice ha raccolto le ricevute Lyft inviate per e-mail dai suoi clienti dalle loro caselle di posta e ha venduto i dati anonimi a Uber.

Sebbene il CEO di Unroll.me Jojo Hedaya si sia scusato, non è riuscito a soddisfare alcuni clienti e le sezioni dei commenti su vari siti Web si sono riscaldate poiché alcuni clienti hanno richiesto la distruzione dei propri dati.

Ma c'è un problema.

Unroll.me e altri strumenti come questi possono riservarsi il diritto di conservare a tempo indeterminato i tuoi dati di posta elettronica e possedere questo tipo di dati è ciò che rende aziende come Unroll.me (Slice) così preziose.

Ad esempio, in una risposta alla storia di Unroll.me su Y Combinator, un collaboratore ha affermato: "Gran parte dell'acquisto di Unroll.me da parte di Slice riguardava l'accesso a quegli archivi di posta elettronica. In particolare, volevano cercare le tendenze delle parole chiave e le ricevute degli acquisti online".

E ciò di cui la maggior parte dei consumatori non si rende conto è che questo tipo di raccolta e vendita di dati avviene anche con altre società di strumenti di posta (ad esempio, Boxbe di eDataSource e OtherInbox e Organizer di Return Path). In precedenza abbiamo trattato alcuni di questi strumenti nel nostro blog The Truth About Email Panel Data .

Perché i consumatori consegnano volontariamente i propri dati e-mail?

Leggi i Termini e le politiche sulla privacy di ogni servizio online che utilizzi?

Secondo il recente studio The Biggest Lie on the Internet: Ignoring the Privacy Policy and Terms of Service Policies of Social Networking Services , i ricercatori hanno scoperto che l'86% dei soggetti del test ha trascorso meno di un minuto a leggere i termini di servizio e un incredibile 97% ha speso meno di cinque minuti. Inoltre, meno del 2% ha notato che, accettando i termini dei servizi, in realtà "forniva un figlio primogenito" come pagamento per l'accesso all'applicazione di test.

Come la maggior parte dei consumatori, supponiamo che gli utenti degli strumenti di posta elettronica gratuiti leggano raramente le politiche a cui sono d'accordo. Ma il vecchio adagio rimane vero: se non paghi per usare un prodotto, newsflash, tu (ei tuoi dati) siete il prodotto.

Percorso di ritorno eDataSource Minaccia alla privacy e alla sicurezza dei dati dei consumatori

Utenti di strumenti gratuiti per la casella di posta: tu (ei tuoi dati) siete il prodotto.

La veterana del settore della posta elettronica Laura Atkins ha recentemente preso in considerazione gli strumenti della casella di posta e il settore dei dati del pannello di posta elettronica per quanto riguarda i rischi per la sicurezza per gli utenti. E in risposta alle preoccupazioni di Atkin, il Chief Privacy Officer di Return Path, Dennis Dayman, ha offerto questo commento:

“Il nostro flusso di registrazione chiarisce che utilizziamo i dati degli utenti per scopi di ricerca di mercato, ma in modo anonimo e aggregato. Facciamo questa dichiarazione in un inglese semplice e conciso proprio al momento della registrazione, non sepolta in Termini di servizio cliccabili che nessun utente vedrà mai. "

Ma questo è il modo in cui si legge la pagina di registrazione dell'organizzatore di proprietà del percorso di ritorno:

“Offrendo questo servizio, raccogliamo e condividiamo determinate informazioni sui messaggi e-mail non personali (ad es. e-mail commerciali). Questi dati ci aiutano a ottenere informazioni sul comportamento dei consumatori e ci aiutano anche a migliorare l'ecosistema della posta elettronica comprendendo meglio come le persone interagiscono con i messaggi di posta elettronica non personali che ricevono".

Sebbene siamo d'accordo con Dayman di Return Path che agli utenti dovrebbe essere fornita una spiegazione "in inglese semplice" di ciò che i loro strumenti faranno con i dati dei clienti senza dover leggere una lunga politica sulla privacy, riteniamo che la copia del sito Web dell'organizzatore non soddisfi tale esigenza.

Quindi, abbiamo fatto la cosa che la maggior parte degli utenti di strumenti per le cassette postali probabilmente non fa mai: leggere l' Informativa sulla privacy dei dati del percorso di ritorno di circa 4.653 parole .

Nota: non siamo avvocati, quindi consultane uno se desideri un parere legale su una qualsiasi delle informazioni discusse in questo blog.

Immersi nell'informativa sulla privacy, abbiamo scoperto che lo strumento raccoglie "messaggi commerciali, transazionali e relazionali" (Informazioni sull'utilizzo del servizio), no, non solo posta commerciale. E i "messaggi di relazione" sono email personali? Secondo il sito web, lo strumento è focalizzato sull'e-mail non personale. Sfortunatamente, dopo più letture di questa sezione nella politica, non siamo riusciti a trovare una chiara spiegazione del termine.

In un altro punto della politica sono elencate le sezioni relative alle informazioni di identificazione non personale raccolte e vendute a terzi (Informazioni sull'utilizzo del servizio), che le e-mail potrebbero essere archiviate a tempo indeterminato (Conservazione delle informazioni personali), che l'app potrebbe tenere traccia della posizione dell'utente quando è impegnata sul cellulare dispositivi (Informazioni aggregate) e che i tuoi dati possono essere venduti a un'altra società (Cambio di controllo/Trasferimento di risorse) in qualsiasi momento. Cosa succede ai tuoi dati se un'altra azienda acquisisce Return Path? Non ci è chiaro.

Vedete che le informazioni comunicate in "inglese semplice" qui:

App di posta elettronica dell'organizzatore di Return Path

Fonte: Organizzatore di Return Path

Nemmeno noi.

La vendita di ricevute di Lyft è solo la punta dell'iceberg

La vendita dei dati di Unroll.me a Uber ha lasciato molte persone sconvolte, ma non ha nemmeno scalfito la superficie sulla più ampia raccolta di dati venduti altrove.

Ad esempio, Return Path offre più strumenti gratuiti per la casella di posta ai consumatori e "raccoglie dati dettagliati sulle ricevute dei consumatori da una vasta gamma di fonti" per mostrare che "i dati delle ricevute a livello di articolo possono mostrarti cosa stanno effettivamente facendo i consumatori", secondo quanto riferito raccogliendo dati sui pagamenti, banche, rivenditori, e-commerce, ecc.:

Percorso di ritorno Informazioni sui consumatori Problemi di privacy e sicurezza

Fonte: informazioni sui consumatori del percorso di ritorno

Sul sito web di Return Path, appena sopra questa immagine, e al momento di questo blog, si leggeva "Return Path offre dati sui consumatori come non hai mai visto prima". Se il grafico sopra è una rappresentazione accurata dei dati che Return Path sta raccogliendo e vendendo, la loro raccolta "Consumer Insight" va ben oltre le ricevute di Lyft. Preventivi assicurativi, estratti conto online, cronologia degli acquisti, abitudini di visualizzazione di Netflix, cambio di gestore telefonico... È questo il tipo di informazioni che i consumatori immaginavano di condividere quando si sono registrati per uno strumento di posta gratuito?

Ironia della sorte, sembra che gli stessi strumenti della casella di posta che affermano di migliorare la produttività degli utenti e di aiutarti a evitare lo spam possano effettivamente avere i suoi dati acquistati e analizzati per informare più, migliore spam (o più spam) in base alle informazioni raccolte dagli account di posta elettronica dell'utente.

Ricorda, se stai utilizzando uno strumento di posta gratuito, tu (e i tuoi dati) siete il prodotto.

Gli strumenti per le cassette postali di terze parti possono rappresentare un grave rischio per la sicurezza

Il post di Y Combinator ha anche segnalato problemi precedenti con la sicurezza su Unroll.me:

“Ho lavorato per un'azienda che ha quasi acquisito Unroll.me. All'epoca, più di tre anni fa, avevano conservato una copia di ogni tua singola email che hai inviato o ricevuto durante una parte del loro servizio. Quelle e-mail sono state conservate in una serie di bucket S3 scarsamente protetti".

Secchi S3 non protetti correttamente? Tenere una copia di ogni singola email? Indipendentemente dal fatto che sia stato inviato o ricevuto? Se questo è vero, potrebbe significare che lo spazio di archiviazione S3 di Unroll.me è pieno zeppo di ricevute di acquisto, reimpostazioni di password e chissà che tipo di messaggi personali. Possono essere memorizzati anche messaggi inviati totalmente estranei all'utilizzo dello strumento.

E per quanto riguarda le credenziali di accesso? Sebbene alcuni provider (Gmail, Yahoo, Outlook) forniscano l'autenticazione OAuth, AOL e Apple (icloud.com) non lo fanno e queste applicazioni di posta richiedono le credenziali di accesso, inclusa la password, per utilizzare il servizio. Mentre tutte le aziende affermano di seguire le migliori pratiche standard per la sicurezza, le violazioni dei dati sono diventate un evento comune in molte aziende di software.

Diverse fonti hanno indicato che alcuni di questi strumenti richiedono l'accesso completo in lettura e scrittura al tuo account. Ciò significa che l'applicazione, o chiunque possa potenzialmente violarla, potrebbe avere carta bianca per gestire la tua casella di posta come meglio crede.

Come impedire agli strumenti della casella di posta di raccogliere i tuoi dati di posta elettronica

Se sei un utente di Unroll.me, Boxbe, Organizer o altri strumenti di posta e desideri revocare la loro capacità di raccogliere, archiviare e vendere i tuoi dati, ecco le istruzioni su come disattivare il loro accesso:

  • Gmail: visita la pagina di sicurezza e vai su "App e siti connessi" in "Accesso e sicurezza" nel menu a sinistra. Fai clic sul servizio che desideri rimuovere e mostrerà il pulsante blu "Rimuovi". Rispondi "Sì" quando ti viene chiesto "Sei sicuro di voler rimuovere l'accesso?"
  • Outlook: utilizzo di componenti aggiuntivi in ​​Outlook.com o Outlook sul Web
  • Yahoo!: rimuovere l'autorizzazione per un'app di terze parti

Per gli utenti che hanno condiviso le proprie credenziali di accesso alla posta elettronica con uno strumento di posta elettronica, è necessario modificare immediatamente la password per il proprio account di posta elettronica.

Incoraggiamo inoltre gli utenti a contattare il proprietario dello strumento e chiedere chiarimenti su se e come vengono archiviate le informazioni personali (ad es. messaggi transazionali, messaggi personali, credenziali di accesso), insieme a un collegamento alla sezione della loro politica sulla privacy che consente loro di fare così.