사서함 도구: 소비자 데이터 개인 정보 보호 및 보안에 대한 위협.

소비자 데이터 개인 정보 보호 및 보안에 대해 점점 더 논란이 되고 있는 주제가 최근 이메일 구독 관리 애플리케이션 Unroll.me의 소유자인 Slice와 Uber가 사용하는 비즈니스 관행을 비판하는 New York Times 기사에서 스포트라이트를 받았습니다. 이 기사에서는 Slice가 Unroll.me의 소비자 데이터를 인기 있는 승차 공유 회사에 판매했다고 밝혔습니다.

“Uber는 Slice Intelligence라는 분석 서비스에서 데이터를 구매하는 이른바 경쟁 인텔리전스에 팀을 바쳤습니다. Slice는 Unroll.me라는 이름의 이메일 요약 서비스를 사용하여 받은 편지함에서 고객의 이메일 Lyft 영수증을 수집하고 Uber에 익명 데이터를 판매했습니다.”

Unroll.me의 CEO인 Jojo Hedaya가 사과했지만 일부 고객을 만족시키지 못했고 일부 고객이 데이터 삭제를 요청하면서 여러 웹사이트의 댓글 섹션이 뜨거워졌습니다.

하지만 문제가 있습니다.

Unroll.me 및 이와 유사한 기타 도구는 이메일 데이터를 무기한으로 보유할 수 있는 권한을 보유할 수 있으며 이러한 유형의 데이터를 소유하는 것은 Unroll.me(Slice)와 같은 회사를 매우 가치 있게 만드는 것입니다.

예를 들어, Y Combinator의 Unroll.me 스토리에 대한 응답에서 기고자는 다음과 같이 주장했습니다. 특히 키워드 트렌드와 온라인 구매 영수증을 찾고 싶었습니다.”

그리고 대부분의 소비자가 깨닫지 못하는 것은 이러한 유형의 데이터 수집 및 판매가 다른 사서함 도구 회사에서도 발생한다는 것입니다(예: eDataSource의 Boxbe 및 Return Path의 OtherInbox 및 Organizer). 이전에 블로그 이메일 패널 데이터에 대한 진실 에서 이러한 도구 중 일부를 다루었습니다.

소비자가 자발적으로 이메일 데이터를 넘겨주는 이유는 무엇입니까?

사용하는 모든 온라인 서비스의 약관 및 개인정보 보호정책을 읽으십니까?

최근 연구 The Biggest Lie on the Internet: Ignoring Privacy Policies and Terms of Service Policies of Social Networking Services 에 따르면, 연구원들은 테스트 대상의 86%가 서비스 약관을 읽는 데 1분 미만을 소비했으며 97%는 더 적은 시간을 소비한 것으로 나타났습니다. 5분 이상. 또한, 서비스 약관에 동의함으로써 테스트 애플리케이션에 대한 액세스에 대한 대가로 실제로 "맏아들에게 제공하는 것"이라고 인식한 비율은 2% 미만이었습니다.

대부분의 소비자와 마찬가지로 무료 사서함 도구 사용자는 동의한 정책을 거의 읽지 않는다고 가정합니다. 그러나 오래된 격언은 여전히 ​​유효합니다. 뉴스 플래시라는 제품을 사용하기 위해 비용을 지불하지 않는다면 귀하(및 귀하의 데이터) 가 바로 제품입니다.

무료 사서함 도구 사용자: 귀하(및 귀하의 데이터)가 제품입니다.

이메일 업계 베테랑인 Laura Atkins는 최근 메일박스 도구와 이메일 패널 데이터 업계를 통해 사용자의 보안 위험과 관련된 작업을 수행했습니다. 그리고 Atkin의 우려에 대한 응답으로 Return Path의 최고 개인 정보 보호 책임자인 Dennis Dayman은 다음과 같이 말했습니다.

“등록 절차는 사용자 데이터를 시장 조사 목적으로 사용하지만 익명으로 집계된 방식으로 사용한다는 점을 분명히 합니다. 우리는 등록 시점에 간결하고 평범한 영어로 그 성명을 작성합니다. 어떤 사용자도 볼 수 없는 클릭 연결 서비스 약관에 묻히지 않습니다. "

그러나 이것이 Return Path가 소유한 Organizer 가입 페이지의 내용입니다.

“이 서비스를 제공하면서 우리는 비개인 이메일 메시지(예: 상업 이메일)에 대한 특정 정보를 수집하고 공유합니다. 이 데이터는 소비자 행동에 대한 통찰력을 얻는 데 도움이 되며 사람들이 수신하는 비개인 이메일 메시지와 상호 작용하는 방식을 더 잘 이해함으로써 이메일 생태계를 개선하는 데 도움이 됩니다.”

우리는 사용자에게 긴 개인 정보 보호 정책을 읽을 필요 없이 도구가 고객 데이터로 수행하는 작업에 대한 "평범한 영어" 설명을 제공해야 한다는 Return Path의 Dayman에 동의하지만 Organizer 웹 사이트 사본이 해당 요구를 충족하지 못한다고 생각합니다.

그래서 우리는 대부분의 사서함 도구 사용자가 하지 않았을 일을 했습니다. 약 4,653단어 반환 경로 데이터 개인 정보 보호 정책을 읽으십시오.

참고: 저희는 변호사가 아니므로 이 블로그에서 논의된 정보와 관련하여 법적 의견이 필요한 경우 변호사에게 문의하십시오.

개인 정보 보호 정책에 묻혀 우리는 도구가 상업 메일뿐만 아니라 "상업, 거래 및 관계 메시지"(서비스 사용 정보)를 수집하고 있음을 발견했습니다. 그리고 "관계 메시지"가 개인 이메일입니까? 웹사이트에 따르면 이 도구는 비개인 이메일에 중점을 둡니다. 불행히도 정책에서 이 섹션을 여러 번 읽은 후에도 용어에 대한 명확한 설명을 찾지 못했습니다.

정책의 다른 곳에 나열되어 있는 비개인 식별 정보 수집 및 제3자 판매(서비스 사용 정보), 이메일 무기한 저장(개인 정보 보유), 모바일 사용 시 앱에서 사용자 위치 추적 가능 장치(통합 정보) 및 귀하의 데이터가 언제든지 다른 회사에 판매될 수 있음(통제/자산 이전 변경). 다른 회사가 반품 경로를 인수하면 데이터는 어떻게 됩니까? 우리에게는 명확하지 않습니다.

여기에서 "일반 영어"로 전달된 정보가 보이나요?

출처: Return Path's Organizer

우리도 마찬가지입니다.

Lyft 판매 영수증은 빙산의 일각에 불과합니다.

Unroll.me 데이터를 Uber에 판매한 것은 많은 사람들을 화나게 했지만 다른 곳에서 판매되고 있는 더 광범위한 데이터 컬렉션의 표면을 긁지 않습니다.

예를 들어, Return Path는 소비자에게 여러 무료 사서함 도구를 제공하고 "다양한 소스에서 상세한 소비자 영수증 데이터를 수집"하여 "상품 수준의 영수증 데이터를 통해 소비자가 실제로 무엇을 하고 있는지 보여줄 수 있습니다"라고 보고된 바에 따르면 결제 데이터를 수집합니다. 은행, 소매업체, 전자상거래 등:

출처: 반품 경로 소비자 인사이트

Return Path 웹사이트에서 이 이미지 바로 위, 이 블로그 당시에는 "Return Path는 이전에 본 적이 없는 것과 같은 소비자 데이터를 제공합니다."라고 표시되어 있습니다. 위의 그래픽이 반품 경로가 수집 및 판매하는 데이터를 정확하게 표현한 경우, 그들의 "소비자 통찰력" 수집은 Lyft 영수증을 훨씬 능가합니다. 보험 견적, 온라인 명세서, 구매 내역, Netflix 시청 습관, 전화 공급자 전환… 이것이 소비자가 무료 메일함 도구에 가입할 때 공유하기를 상상한 정보 유형입니까?

아이러니하게도 사용자 생산성을 향상시키고 스팸을 방지하는 데 도움이 된다고 주장하는 바로 그 메일박스 도구가 사용자의 이메일 계정에서 수집된 정보를 기반으로 더 많은, 더 나은 스팸(또는 더 나은 스팸)을 알리기 위해 실제로 데이터를 구매하고 분석한 것 같습니다.

무료 사서함 도구를 사용하는 경우 귀하(및 귀하의 데이터)가 제품임을 기억하십시오.

타사 사서함 도구는 심각한 보안 위험을 초래할 수 있습니다.

Y Combinator 게시물은 Unroll.me의 보안과 관련된 이전 문제도 주장했습니다.

“저는 Unroll.me를 인수할 뻔한 회사에서 일했습니다. 3년이 넘은 그 당시, 그들은 당신이 서비스의 일부로 보내거나 받은 모든 이메일의 사본을 보관하고 있었습니다. 이러한 이메일은 보안이 취약한 일련의 S3 버킷에 보관되었습니다.”

보안이 취약한 S3 버킷? 모든 이메일의 사본을 보관하시겠습니까? 보내거나 받았는지 여부에 관계없이? 이것이 사실이라면 Unroll.me의 S3 저장소가 구매 영수증, 비밀번호 재설정 및 개인 메시지의 종류를 아는 것으로 가득 차 있음을 의미할 수 있습니다. 도구 사용과 전혀 관련이 없는 보낸 메시지도 저장할 수 있습니다.

로그인 자격 증명은 어떻습니까? 일부 제공업체(Gmail, Yahoo, Outlook)는 OAuth 인증을 제공하지만 AOL 및 Apple(icloud.com)은 OAuth 인증을 제공하지 않으며 이러한 사서함 애플리케이션은 서비스를 사용하기 위해 비밀번호를 포함한 로그인 자격 증명을 요구합니다. 모든 회사가 보안을 위한 표준 모범 사례를 따르고 있다고 주장하지만 데이터 침해는 많은 소프트웨어 회사에서 흔히 발생하는 일이 되었습니다.

여러 출처에서 이러한 도구 중 일부가 귀하의 계정에 대한 전체 읽기 및 쓰기 액세스 권한을 요청한다고 지적했습니다. 이는 애플리케이션 또는 잠재적으로 이를 위반하는 사람이 적절하다고 판단되는 대로 받은 편지함을 관리할 수 있는 자유 권한을 가질 수 있음을 의미합니다.

메일박스 도구가 이메일 데이터를 수집하지 못하도록 하는 방법

Unroll.me, Boxbe, Organizer 또는 기타 사서함 도구 사용자이고 데이터 수집, 저장 및 판매 기능을 취소하려는 경우 액세스를 차단하는 방법에 대한 지침은 다음과 같습니다.

• Gmail: 보안 페이지를 방문하여 왼쪽 메뉴의 "로그인 및 보안"에서 "연결된 앱 및 사이트"로 이동합니다. 제거하려는 서비스를 클릭하면 파란색 "제거" 버튼이 표시됩니다. "정말 액세스 권한을 제거하시겠습니까?"라는 질문에 "예"라고 대답합니다.
• Outlook: Outlook.com 또는 웹용 Outlook에서 추가 기능 사용
• Yahoo!: 타사 앱에 대한 권한 제거

메일함 도구와 이메일 로그인 자격 증명을 공유한 사용자 의 경우 이메일 계정의 비밀번호를 즉시 변경해야 합니다.

또한 사용자가 도구 소유자에게 연락하여 개인 정보(예: 거래 메시지, 개인 메시지, 로그인 자격 증명)가 저장되는지 여부와 저장 방법에 대한 설명과 다음을 허용하는 개인 정보 보호 정책 섹션에 대한 링크를 요청할 것을 권장합니다. 그렇게 해.