zharkevich.ru
Приватность в одиночку не работает

Приватность в одиночку не работает

· 7 мин чтения

Представьте человека, который никогда не регистрировался в соцсети известной американской корпорации. Не оставлял там ни имени, ни телефона, ни фотографии, принципиально обходил её стороной. И всё равно у компании есть на него досье: как зовут, в каком городе живёт, с кем общается, как выглядит. Откуда?

Его собрали за него знакомые. Каждый, кто установил приложение и нажал «найти друзей», отдал свою адресную книгу, а в ней был и наш герой. Если собрать сотни таких списков контактов, из пересечений складывается портрет человека, которого в системе формально нет. У этого явления даже есть название — теневой профиль.

Об этом почти не говорят, когда обсуждают цифровую приватность. Мы привыкли думать о ней как о личном деле: мой пароль, мой телефон, моя переписка, мои настройки. Поставил мессенджер с шифрованием, выключил геолокацию, не сдавал биометрию, и ты в домике. Но вот домик дырявый. Приватность не индивидуальна, она коллективна. И ты защищён ровно настолько, насколько защищён твой самый беспечный знакомый.

Записная книжка, которая сдаёт всех

Почти каждое приложение при установке вежливо просит доступ к контактам — «чтобы вам было проще найти друзей». Человек нажимает «разрешить», не задумываясь, и в этот момент отдаёт сервису не свои данные, а чужие: имена, номера, иногда дни рождения и адреса десятков других людей, которые его об этом не просили и часто вообще не пользуются этим сервисом.

Дальше начинается магия графа. Сервис видит, что номер из вашей книжки записан как «Мама», в книжке у трёх ваших друзей — как «Светлана Петровна», а в чьём-то рабочем чате засветился рядом с фамилией. Сложив это, он уже знает про Светлану Петровну больше, чем хотела бы она сама, даже если она ничего не устанавливала. Отсюда же берутся пугающе точные подсказки «возможно, вы знакомы»: система предлагает вам человека, с которым вас связывает только то, что вы оба оказались в чьей-то третьей записной книжке.

Так происходит даже с инструментами, которым принято доверять. Привязка к номеру телефона — а на ней держится почти всё, о чём я писал в «Номер телефона — это не вы», — означает, что стоит кому-то загрузить контакты, и связка «ваш номер — ваше имя — ваш круг» оказывается на чужих серверах. Удалить её оттуда вы не можете — вы её туда и не загружали. Вы можете не публиковать о себе ничего. За вас опубликуют другие, сами того не заметив.

ДНК двоюродного брата

Если адресная книга кажется поправимой бедой — можно же сменить номер, — то есть данные, которые не сменить никогда. И именно с такими данными коллективная природа приватности становится по-настоящему страшной.

В 2023 году взломали генетический сервис 23andMe. Действовали буднично: взяли пароли из старых чужих утечек и стали подставлять их к аккаунтам, рассчитывая, что люди используют везде одинаковые пароли. И вот так, в лоб, вскрыли около 14 000 аккаунтов — меньше десятой доли процента клиентов. А дальше сработала функция «ДНК-родственники», через которую пользователи видят данные генетической родни. Зайдя в 14 000 аккаунтов, злоумышленники выгребли профили примерно 6,9 миллиона человек — почти половину базы. Вдумайтесь в пропорцию: беспечность четырнадцати тысяч обернулась утечкой данных почти семи миллионов, и подавляющее большинство пострадавших не делали ничего неправильного. За них всё решил пароль дальнего родственника.

Второй сюжет ещё показательнее. В 2018 году в США поймали Golden State Killer — серийного убийцу, которого искали сорок лет. Поймали так: ДНК с места преступления загрузили в открытую генеалогическую базу GEDmatch, куда люди заливают свои тесты, чтобы найти родню. Совпадения нашлись больше чем у сотни человек — у дальних родственников, вплоть до троюродных. По ним построили семейные деревья и вычислили подходящего по возрасту и месту мужчину. Сам он свою ДНК никуда не сдавал. Его сдали родственники, которых он, возможно, в глаза не видел.

Мораль одна и для жертв утечки, и для пойманного убийцы: вашу генетическую приватность можно потерять, ни разу не подойдя к пробирке. Достаточно, чтобы это сделал кто-то, с кем у вас общие гены. Биометрию нельзя отозвать — об этом был отдельный пост, — но там речь шла хотя бы о вашем выборе сдать лицо или палец. С ДНК выбор за вас делает родня, и отменить его нельзя в принципе.

Чужая камера, чужой тег

Дальше — мелочи, которые по отдельности безобидны, но, используя их вместе, можно восстанавить всю вашу жизнь.

Друг выложил совместное фото с геометкой, и вот уже известно, где вы были в субботу вечером. Кто-то отметил вас на снимке — система научилась узнавать ваше лицо, хотя вы свои фотографии никуда не грузили. Коллега упомянул вас в посте, общий чат сохранил ваш номер у двухсот человек, родственник завёл семейный фотоальбом в облаке и сложил туда детские снимки всей семьи. Вы можете быть на заднем плане в чьём-то кадре из отпуска, который индексируется поисковиком. Каждый отдельный фрагмент — пустяк. Но вместе граф связей, геометки и лица складываются обратно в вас — только лежат эти кусочки по чужим аккаунтам.

Почему «у меня всё закрыто» не спасает

Здесь обычно возражают: «Ну, лично я аккуратен, у меня всё закрыто». Беда в том, что личная аккуратность ограничивается беспечностью ваших знакомых, которую вы не контролируете.

Это, если хотите, более глубокая версия спора про «мне нечего скрывать», который я разбирал в отдельном тексте. Там проблема была в том, что приватность путают с сокрытием постыдного. Здесь — ещё хуже: даже если вы всё делаете правильно и скрывать вам действительно нечего, ваша сдержанность ничего не значит. Граф ваших связей собирается не из того, что выкладываете вы, а из данных, которые публикуют другие. Можно молчать сколько угодно, всё скажут за вас.

И ещё одно. В системах, где честных людей считают допустимой погрешностью — об этом был «Допустимый ущерб», — групповая утечка превращает вас в подозреваемого по чужой вине. Достаточно оказаться не в том графе, не в той записной книжке, не среди тех родственников.

Слабое звено

Для большинства из нас всё это — вопрос неудобства: реклама, неловкость, мимолётное подозрение по чужой вине. Но для некоторых людей слабое звено в их окружении — уже вопрос свободы и самой жизни.

Журналист бережёт источник, шифрует переписку, заметает следы. А источник один раз пишет ему с телефона, привязанного к паспорту, или хвастается коллеге, и вся защита журналиста обнулена чужой ошибкой. У активистской группы безопасность всегда определяется по самому слабому участнику: один изъятый при задержании телефон выдаёт общий чат целиком, со всеми, кто там был. Жертва домашнего насилия делит семейный тариф и общий аккаунт с тем, от кого прячется, — и геолокация, история, переписка как на ладони у абьюзера.

Во всех этих случаях в одиночку не спрятаться. Сеть надёжна ровно настолько, насколько надёжно её самое слабое звено. И защищать приходится не себя, а всех сразу — или никого.

Коллективная гигиена

Если приватность коллективна, то и беречь её нужно сообща. Несколько простых правил, которые работают не на вас одного, а на весь ваш круг.

  • Не сдавайте чужие контакты. Прежде чем разрешить приложению доступ к адресной книге, помните: вы отдаёте не только свои данные, а данные всех, кто там записан. Чаще всего эта функция вообще не нужна.
  • Спрашивайте, прежде чем публиковать. Чужое фото, тег, геометка, совместный снимок детей — это вмешательство в жизнь другого человека. Один короткий вопрос «можно это выложить?» ничего вам не стоит, а кого-то избавит от серьёзных проблем.
  • Выбирайте инструменты, которые не собирают социальный граф. Мессенджеры без привязки к номеру и без загрузки контактов — Session и подобные — устроены так, что сдавать через вас попросту нечего.
  • Договаривайтесь с близкими. Приватность семьи или группы — это общий уговор, а не сумма индивидуальных настроек. О ней имеет смысл просто поговорить, как о любой другой общей вещи.

Только не стоит переоценивать эти меры — они снижают урон, но не убирают. Вы не можете заставить дальнего родственника не сдавать ДНК и не можете проконтролировать каждого, у кого записан ваш номер. Поэтому по-настоящему вопрос решается не личной дисциплиной, а тем, как устроены сами сервисы: приложение не должно по умолчанию собирать чужие адресные книги, а согласие на обработку чужих данных не должно выдаваться одним нажатием «разрешить».

Общий воздух

У приватности есть свойство, которое роднит её с чистым воздухом или коллективным иммунитетом: её нельзя обеспечить себе в одиночку. Нельзя дышать чистым воздухом в загазованном городе, отгородившись в своей квартире, и нельзя остаться приватным в раскрытом нараспашку окружении, как бы ты ни был аккуратен лично.

Из этого следует важный вывод. Приватность — не личная гигиена и не набор правильных приложений, которые каждый настраивает себе сам. Это общее благо, которое либо есть у круга, у сообщества, у общества — либо его нет ни у кого. Поэтому и защищать её бессмысленно поодиночке, инструкцией «поставь вот это приложение». Защищать приходится всем вместе — правилами, нормами, привычкой уважать чужие данные так же, как свои.

А тот, кто отмахивается, заявляя, что ему нечего скрывать, ошибается даже дважды. Не только потому, что приватность — это не сокрытие постыдного. А ещё и потому, что его молчание всё равно не его. За него давно всё рассказали другие.

Предыдущий
Наверх