メールボックスツール:消費者データのプライバシーとセキュリティに対する脅威。

公開: 2021-08-18

消費者データのプライバシーとセキュリティに関するますます論議を呼んでいるトピックは、最近、電子メールサブスクリプション管理アプリケーションUnroll.meの所有者であるSliceとUberが使用するビジネス慣行に批判的なニューヨークタイムズの記事で脚光を浴びました。 この記事は、スライスがUnroll.meから人気のあるライドシェア会社に消費者データを販売したことを明らかにしました。

「Uberはチームをいわゆるコンペディティブインテリジェンスに専念させ、スライスインテリジェンスと呼ばれる分析サービスからデータを購入しました。 Sliceは、所有するUnroll.meという名前のメールダイジェストサービスを使用して、顧客のメールで送信されたLyftの領収書を受信トレイから収集し、匿名化されたデータをUberに販売しました。」

Unroll.meのCEOであるJojoHedayaは謝罪しましたが、一部の顧客を満足させることができず、一部の顧客がデータの破棄を要求したため、さまざまなWebサイトのコメントセクションが熱くなりました。

しかし、問題があります。

Unroll.meおよびそれらのような他のツールは、電子メールデータを無期限に保持する権利を留保することができ、このタイプのデータを所有することは、Unroll.me(スライス)のような企業を非常に価値のあるものにします。

たとえば、Y CombinatorのUnroll.meストーリーへの返信で、寄稿者は次のように主張しました。「スライスがUnroll.meを購入する大部分は、これらの電子メールアーカイブへのアクセスのためでした。 具体的には、キーワードの傾向とオンライン購入からの領収書を探したいと考えていました。」

そして、ほとんどの消費者が気付いていないのは、このタイプのデータ収集と販売が他のメールボックスツール会社でも行われていることです(たとえば、eDataSourceのBoxbe、Return PathのOtherInboxとOrganizer)。 以前、これらのツールのいくつかについて、ブログThe Truth About Email PanelDataで取り上げました。

消費者が自発的にメールデータを渡すのはなぜですか?

使用するすべてのオンラインサービスの利用規約とプライバシーポリシーを読みましたか?

最近の調査によると、インターネット上の最大の嘘:ソーシャルネットワーキングサービスのプライバシーポリシーと利用規約ポリシーを無視すると、研究者は、被験者の86%が利用規約を読むのに1分未満しか費やさず、驚異的な97%がより少ない時間を費やしたことを発見しました5分以上。 さらに、利用規約に同意することで、テストアプリケーションへのアクセスの支払いとして実際に「長子を提供」していることに気付いたのは2%未満でした。

ほとんどの消費者と同様に、無料のメールボックスツールのユーザーが同意したポリシーを読むことはめったにないと想定しています。 しかし、古い格言は真実のままです。製品(ニュースフラッシュ)を使用するためにお金を払っていない場合、あなた(およびあなたのデータ)製品です。

リターンパスeDataSourceコンシューマーデータのプライバシーとセキュリティの脅威

無料のメールボックスツールユーザー:あなた(そしてあなたのデータ)は製品です。

電子メール業界のベテランであるLauraAtkinsは最近、メールボックスツールと電子メールパネルデータ業界に、ユーザーのセキュリティリスクに関するタスクを任せました。 そして、アトキンの懸念に応えて、リターンパスの最高プライバシー責任者であるデニスデイマンは次のコメントを提供しました。

「私たちの登録フローは、ユーザーのデータを市場調査の目的で使用していることを明確にしていますが、匿名化された集計方法です。 私たちは、登録の時点で簡潔でわかりやすい英語でその声明を発表します。ユーザーが目にすることのないクリックスルーの利用規約に埋もれることはありません。

しかし、これは、リターンパスが所有するオーガナイザーのサインアップページの読み方です。

「このサービスを提供するにあたり、私たちは非個人的な電子メールメッセージ(例:商用電子メール)に関する特定の情報を収集して共有します。 このデータは、消費者の行動に関する洞察を得るのに役立ちます。また、受信した非個人的な電子メールメッセージと人々がどのようにやり取りするかをよりよく理解することで、電子メールエコシステムを改善するのにも役立ちます。」

長いプライバシーポリシーを読まなくても、ツールが顧客データをどのように処理するかについてユーザーに「わかりやすい英語」の説明を提供する必要があるというReturn PathのDaymanに同意しますが、オーガナイザーのWebサイトのコピーではそのニーズを満たすことができないと感じています。

そのため、ほとんどのメールボックスツールユーザーが決して実行しない可能性のあることを実行しました。約4,653ワードのリターンパスデータプライバシーポリシーをお読みください。

注:私たちは弁護士ではありません。このブログで説明されている情報について法的な意見が必要な場合は、弁護士にご相談ください。

プライバシーポリシーに埋もれていると、このツールが「商用、トランザクション、および関係のメッセージ」(サービス使用情報)を収集していることがわかりました。商用メールだけではありません。 そして、「関係メッセージ」は個人的な電子メールですか? ウェブサイトによると、ツールは非個人的な電子メールに焦点を当てています。 残念ながら、ポリシーのこのセクションを何度も読んだ後、用語の明確な説明を見つけることができませんでした。

ポリシーの他の場所にリストされているのは、収集されて第三者に販売される個人を特定しない情報(サービス使用情報)、電子メールが無期限に保存される可能性がある(個人情報の保持)、アプリがモバイルで使用されているときにユーザーの場所を追跡する可能性があることに関するセクションですデバイス(集約情報)、およびお客様のデータがいつでも別の会社に販売される可能性があること(制御の変更/資産の譲渡)。 別の会社がリターンパスを取得した場合、データはどうなりますか? それは私たちには明らかではありません。

ここで「平易な英語」で情報が伝達されていることがわかりますか。

リターンパスのオーガナイザーメールアプリ

出典:リターンパスのオーガナイザー

私たちもそうしません。

Lyftレシートの販売は氷山の一角にすぎません

Unroll.meデータのUberへの販売は多くの人々を動揺させましたが、他の場所で販売されているデータのより広範なコレクションの表面を傷つけることさえありません。

たとえば、Return Pathは、消費者に複数の無料メールボックスツールを提供し、「さまざまなソースから詳細な消費者レシートデータを収集」して、「アイテムレベルのレシートデータは、消費者が実際に行っていることを示すことができる」ことを示し、支払いに関するデータを収集すると報告されています。銀行、小売業者、eコマースなど:

リターンパスコンシューマーインサイトプライバシーとセキュリティの懸念

出典:リターンパスコンシューマーインサイト

この画像のすぐ上にあるReturnPath Webサイトで、このブログの時点で、「Return Pathは、これまでに見たことのないような消費者データを提供します」と書かれています。 上記の図がリターンパスが収集および販売しているデータを正確に表したものである場合、それらの「消費者インサイト」コレクションはLyftの領収書をはるかに超えています。 保険の見積もり、オンライン明細書、購入履歴、Netflixの視聴習慣、電話プロバイダーの切り替え…これは、消費者が無料のメールボックスツールにサインアップしたときに共有することを想定したタイプの情報ですか?

皮肉なことに、ユーザーの生産性を向上させ、スパムを回避するのに役立つと主張するメールボックスツールは、実際にはデータを購入して分析し、ユーザーの電子メールアカウントから収集した情報に基づいて、より多くのより良いスパム(またはより良いスパム)を通知する可能性があります。

無料のメールボックスツールを使用している場合は、あなた(およびあなたのデータ)が製品であることを忘れないでください。

サードパーティのメールボックスツールは、重大なセキュリティリスクをもたらす可能性があります

Y Combinatorの投稿でも、Unroll.meのセキュリティに関する以前の問題が主張されています。

「私はUnroll.meをほぼ買収した会社で働いていました。 3年以上前の当時、彼らはサービスの一部である間にあなたが送受信したあなたのすべての電子メールのコピーを保持していました。 これらのメールは、セキュリティが不十分な一連のS3バケットに保存されていました。」

安全性の低いS3バケット? すべての電子メールのコピーを保持しますか? 送信されたか受信されたかに関係なく? これが当てはまる場合は、Unroll.meのS3ストレージが購入レシート、パスワードのリセット、および個人的なメッセージの種類を誰が知っているかがぎっしり詰まっていることを意味している可能性があります。 ツールの使用とはまったく関係のない送信メッセージも保存できます。

そして、ログインクレデンシャルはどうですか? 一部のプロバイダー(Gmail、Yahoo、Outlook)はOAuth認証を提供していますが、AOLとApple(icloud.com)は提供していません。これらのメールボックスアプリケーションは、サービスを使用するためにパスワードを含むログイン資格情報を要求します。 すべての企業がセキュリティの標準的なベストプラクティスに従っていると主張していますが、データ侵害は多くのソフトウェア企業で一般的に発生しています。

複数の情報源が、これらのツールのいくつかがアカウントへの完全な読み取りおよび書き込みアクセスを要求していることを指摘しています。 これは、アプリケーション、またはアプリケーションに違反する可能性のある人が、適切と思われる受信トレイを自由に管理できる可能性があることを意味します。

メールボックスツールによるメールデータの収集を停止する方法

Unroll.me、Boxbe、Organizer、またはその他のメールボックスツールのユーザーであり、データを収集、保存、および販売する機能を取り消したい場合は、アクセスを遮断する方法について次の手順を実行します。

  • Gmail:セキュリティページにアクセスし、左側のメニューの[ログインとセキュリティ]の下にある[接続されているアプリとサイト]に移動します。 削除したいサービスをクリックすると、青い「削除」ボタンが表示されます。 「アクセスを削除してもよろしいですか?」と尋ねられたら、「はい」と答えます。
  • Outlook:Outlook.comまたはOutlook on theWebでアドインを使用する
  • Yahoo !:サードパーティアプリへのアクセス許可を削除します

メールボックスツールでメールログインクレデンシャルを共有したユーザーの場合は、メールアカウントのパスワードをすぐに変更する必要があります。

また、ツールの所有者に連絡して、個人情報(トランザクションメッセージ、個人メッセージ、ログインクレデンシャルなど)が保存されているかどうか、および保存されている方法と、プライバシーポリシーのセクションへのリンクを要求することをお勧めします。そうする。