Шпигунські пристрасті: відстеження електронної пошти

«Я лише зараз відкрив ваше повідомлення», – так починався електронний лист з відповіддю на питання, яке було надіслано ще дуже давно. Але Брайан Мерчант (Brian Merchant), дослідник актуальних інтернет-трендів, знав, що відправник бреше. Насправді той відкрив послання майже півроку тому. На комп’ютері Mac. В Пало-Альто. Вночі.

Брайан Мерчант знав про це так детально, тому що використовував службу трекінгу електронної пошти Streak, яка повідомила його, як тільки повідомлення було відкрито. Сервіс докладно проінформував, де, коли і на якому пристрої був прочитаний лист. Брайан визнає, що коли почав використовувати Streak, то відчув себе ніби шпигуном, який володів додатковою прихованою інформацією про тих, з ким переписувався. Але звичайно, не тільки він використовував систему трекінгу пошти типу Streak.

vst_emailtrack

Особливості технології

Щодня надсилаються біля 269 млрд електронних листів, на кожну людину на планеті припадає приблизно 35 листів. Згідно з дослідженням, опублікованим в червні минулого року аналітиками компанії OMC, більше 40% цих листів відстежуються системами класу «email intelligence» від одного розробника, і цей же вендор також створює інструменти для боротьби з відстеженням email — anti-tracking tools.

Технологія досить проста: для відстеження абонента система вставляє рядок коду в електронний лист, як правило, він прив’язаний до крихітного піксельного зображення 1×1, яке невидиме, а також до таких елементів як гіперпосилання та власні шрифти. Коли одержувач відкриває електронний лист, система відстеження дізнається, де та на якому пристрої цей піксель завантажено.

Служби новин, маркетологи та рекламодавці використовують цю техніку протягом багатьох років для збору даних про своїх замовників та читачів. Великі технологічні компанії, такі як Facebook і Twitter, застосовують цю технологію для прогнозування нашої поведінки в інтернеті. Але останнім часом несподівано багато листів з трекінгом почали надсилати не корпоративні абоненти, а звичайні користувачі. Вони намагаються відстежувати своїх родичів, ділових партнерів, конкурентів тощо.

Згідно з даними OMC, зараз відстежується майже 19% усіх «розмовних» електронних листів. Хоча ви, напевно, цього ніколи не помічали. «Дуже дивно, що хоча є багато літератури з трекінгу сайтів, про відстеження електронних повідомлень відомо досить мало», — зазначили дослідники в жовтні 2017 року. Це означає, що кожного дня надсилаються мільярди електронних листів мільйонам людей, які ніколи не давали згоду на відстеження. Тим не менше, це все ж таки робиться. І Флоріан Серуссі (Florian Seroussi), засновник OMC, вважає, що принаймні деяким з них з цієї причини загрожує серйозна небезпека.

Трохи історії

Ще в середині 2000-х років технологія відстеження електронних повідомлень була майже невідома для широкої публіки. В 2006 році один з перших сервісів раннього відстеження під назвою ReadNotify наробив багато галасу, адже в результаті судового розгляду виявилося, що HP використовувала цей продукт, щоб простежити джерела скандального електронного повідомлення, яке потрапило в пресу. Прихованість (і простота) цієї тактики шокувала суспільство, хоча новинні служби, продавці та маркетологи давно використовували технологію відстеження електронної пошти для збору даних.

Серуссі вважає, що саме Gmail тут став криголамом — він згадує ті часи, коли спонсорські лінки почали з’являтися у наших поштових скриньках на основі відстежених даних. У той час це здавалося доволі тривожною ознакою, хоча зараз вже нікого не хвилює. Саме Gmail дав поштовх — коли рекламодавці та продавці зрозуміли, що вони також можуть надсилати фокусну рекламу на базі зібраних відстежених даних. Частково поштовх цій технології дали і спамери:

«— Професійні спамери відстежували будь-яку активність з надісланим електронним листом, оскільки вони, як правило, купують цілі списки адрес і намагаються активно боротися зі спам-пастками або невідкритими електронними листами, — говорить Андрій Афлорай (Andrei Afloarei), дослідник спаму в компанії Bitdefender. — Якщо ви натискаєте будь-яке посилання в їх повідомлені, це дозволяє їм переконатися, що ваша адреса актуальна».

Але маркетологи і менеджери з продажів (і навіть спамери) більше не причетні до основної частини трекінгу. Тепер цим займаються великі технічні компанії: Amazon, Facebook, MailChimp. Коли Facebook надсилає вам електронний лист із повідомленням про нову активність у вашому обліковому записі, «він відкриває додаток у фоновому режимі і таким чином знає, де ви знаходитеся, який пристрій використовуєте, яку останню фотографію зробили». В залежності від того, які дозволи встановлені користувачем, Facebook отримує доступ до майже всіх елементів, починаючи з камери, місця розташування та багатьох інших прихованих логів. Навіть якщо користувач вимкнув дозвіл на визначення місцезнаходження на своєму пристрої, email-трекінг здатний обійти це обмеження та надати Facebook інформацію про геолокацію користувача.

Тім Кук працює на Windows-комп’ютері?

Брайан Мерчант вирішив обговорити питання трекінгу з представниками компанії Apple. Але якщо спочатку вони відповіли ствердно на пропозицію зустрітися, то потім перестали відповідати на його листи. І тоді Мерчант встановив email-трекер Streak і надіслав ще один лист на прес-контакт. На екрані з’явилося сповіщення: електронний лист був відкритий практично негайно, всередині Купертіно, на iPhone. Потім він був знову відкритий, на iMac, і знову, і знову. Цей електронний лист не тільки читали, але й активно пересилали один одному. Однак відповіді так і не було. В підсумку Мерчант вирішив написати напряму Тіму Куку.

Він надіслав Куку довгого електронного листа з докладною інформацією про інтерв’ю. Але відповіді не було. Тоді він написав короткий репортаж, увімкнув Streak, і знову надіслав листа. Через годину надійшло сповіщення: електронний лист прочитано. Але була одна пікантна деталь: за інформацією Streak, цей лист був прочитаний на десктопі Windows. Можливо це було якась помилка. Та через кілька тижнів Мерчант відправив ще один лист, і його знову прочитали на комп’ютері з ОС Windows. Хтозна, можливо Тім Кук – переконаний користувач Windows (адже він 11 років працював в IBM), або його листування з пресою веде якась стороння PR-агенція. Але це чудовий приклад того, що відстеження електронної пошти може мати ефект навіть для відомих громадських діячів.

«– Під час виборів 2016 року ми відправили електронну пошту американським сенаторам та кандидатам на посаду президента, – сказав Серуссі. – Ми хотіли дізнатись, чи вони застосували які-небудь засоби проти відстеження. Як виявилося – ні. Ми змогли дізнатися про тип їх пристроїв, отримати IP-адреси, визначити, де вони знаходяться та в яких готелях живуть».

Всі відкривають електронні листи, навіть якщо і не відповідають на них, говорить Серусі. Якщо ви можете дізнатись про координати відомої людини, просто надіславши їй листа електронною поштою, то це загроза безпеці. І цим інструментом можуть зловживати спамери, переслідувачі, злодії, які будуть надсилати спам-повідомлення, щоб побачити, де ви знаходитеся саме зараз.

Соціальна загроза

Ще одна проблема: технології трекінгу електронної пошти розвиваються. Дослідники в жовтні минулого року проаналізували електронні листи з інформаційних бюлетенів та служб розсилки з 14 тис. найпопулярніших сайтів в інтернеті та виявили, що 85% з них містять трекери, а 30% передають email-адресу зовнішнім корпораціям без вашої згоди. Отже, якщо ви підписалися на інформаційний бюлетень, навіть з надійного джерела, є загроза, що електронна пошта, яку надсилає служба новин, все ж таки ретельно відстежується.

Онлайн-ресурси довгий час збирали інформацію про споживачів через веб-відстеження: звички перегляду, особистий bios і дані про місцезнаходження. Але додавання електронної адреси в цей мікс створює ще більше підстав для тривоги. Загалом такі відстеження генерують великий набір даних. І якщо трапиться виток цього набору даних, то будь хто зможе отримати доступ до інформації, пов’язаної з вашою персоною. І люди навіть не матимуть уявлення, що такі дані існують.

Шляхи захисту

Оскільки кількість простих у використанні і безкоштовних продуктів для відстеження пошти з кожним роком збільшується, більше того, деякі клієнти електронної пошти вже стандартно постачаються з функціями трекінгу (наприклад, Airmail), нам всім доведеться жити в цифровому ландшафті, де перетинаються трекери та анти-трекери.

Якщо ви не хочете, щоб інші люди знали коли і де ви були, що робили і яким пристроєм користуєтеся – у вас є варіанти. Останнім часом з’явилося багато продуктів, які блокують трекінг пошти – від Ugly Mail до PixelBlock та Senders. Наприклад, Ugly Mail повідомляє вас про те, що електронне повідомлення містить піксель для трекінгу, а PixelBlock блокує його відкриття. Senders пропонує продукт, раніше відомий як Trackbuster, для відображення інформації (обліковий запис Twitter, LinkedIn тощо) про відправника електронного листа, який ви читаєте.

Однак ці методи блокування трекінгу не завжди ефективні, адже на іншому боці також постійно удосконалюють свої технології. Таким чином іде постійна гра на випередження. Деякі експерти вважають, що єдиний шлях захистити користувачів від трекінгу електронної пошти – це блокувати повністю всі зображення. Однак експерти OMC знайшли десятки інших способів для відстеження електронної пошти: іноді це колір тексту, іноді це шрифт, піксель чи посилання. Все це нагадує гонку озброєнь, де одна зі сторін має значну перевагу.

Коли Серуссі запустив Trackbuster у 2014 році, він очікував всього кілька сотень завантажень. Та через кілька годин їх було вже 12 тис. Люди, які знають про трекінг електронних повідомлень і часто самі його використовують, прагнуть уникнути відстеження з боку інших. Тим не менш, виробники email-трекерів були надзвичайно розчаровані наявністю подібних блокувальників. «Нам декілька разів погрожували,» – говорить Серуссі.

Втім, деякі фахівці переконані, що Google здатний повністю заблокувати технологію відстеження електронної пошти. Особливо якщо компанія почне обов’язково попереджати користувачів про наявність механізмів відстеження як в рамках свого сервісу Gmail, так і в інших продуктах. Якщо Google та інші великі IT-компанії не будуть рухатись в цьому напрямку, то Серуссі вважає, що має втрутитися уряд, адже проблема вельми серйозна. «Якщо великі компанії не хочуть нічого робити в цій сфері, має бути закон, який регулює певні види відстеження», – говорить він. Але якщо взагалі нічого не буде зроблено, то це лише питання часу, коли трекінг електронної пошти почнуть використовувати для злочинних цілей, можливо, навіть публічним шляхом. Не виключено, що скоро ми почуємо історію про те, що злочинці вдерлися до чужого будинку, оскільки використовували засоби відстеження електронної пошти і знали, що власники були поза містом. Можливо навіть, подібні випадки вже відбулися.

Джерело: Wired.  Переклад: Blog Imena.UA

 

Читайте также: