امنیت

۲۱ چیز ترسناک که داده‌های عظیم از شما می‌دونه

داده‌های عظیم در مورد شما چی می‌دونه؟ خیلی چیزها.

هر وقت که از کامپیوترمون استفاده می‌کنیم، دست به گوشی می‌شیم و یا اپلیکیشنی روی تبلتمون باز می‌کنیم ردهای دیجیتال زیادی از خودمون به‌جا می‌ذاریم. مردم تقریبا می‌دونن که گوگل از جستجوهاشون خبر داره و یا فیسبوک دوستاشون رو می‌شناسه اما مساله بسیار بزرگ‌تر از اینه.

داده‌های عظیم

در ادامه لیست ۲۱ مورد رو می‌نویسم که داده‌های عظیم همین الان در مورد اکثر ما می‌دونه:

  1. مسلما گوگل هرچیزی رو که جستجو کردید می‌دونه. همینطور بینگ، یاهو و یا هر موتور جستجوی دیگه‌ای. سرویس‌دهنده اینترنتتون هم همه سایت‌هایی که بازدید کردید رو خبر داره.
  2. گوگل همچنین سن و جنسیت شما رو خبر داره، حتی اگر شما بهش نگفته باشید. پروفایل تقریبا جامعی از شما داره شامل فهرست علایقتون (می‌تونید تغییرش بدید) که براساسش بهتون تبلیغ نشون می‌ده.
  3. فیسبوک می‌دونه که چه زمانی رابطه شما داره به هم می‌خوره. براساس فعالیت‌ها و استتوس‌هایی که می‌گذارید، فیسبوک با دقت ترسناکی می‌تونه تشخیص بده که رابطه عاطفی شما داره به پایان می‌رسه یا خیر.
  4. گوگل می‌دونه کجاها رفتید. مخصوصا اگر گوشی اندروید داشته باشید.
  5. پلیس حداقل در بریتانیا می‌تونه بفهمه هر لحظه کجای شهر در حال رانندگی استید. پلیس به اطلاعات هزاران دوربین در سراسر کشور دسترسی داره که پلاک‌ها رو خونده و از ماشین و راننده عکس می‌گیرند. در آمریکا هم شهرهای زیادی دوربین‌های ترافیکی دارند که می‌شه به صورت مشابه استفاده کرد.
  6. تلفن شما می‌دونه که با چه سرعتی رانندگی می‌کنید. (خوشحال باشید که این اطلاعات رو به پلیس نمی‌ده)
  7. همچنین تلفن شما می‌هونه نتیجه بگیره که محل کار و اقامت شما کجاست.
  8. اینترنت می‌دونه که گربه شما کجا زندگی می‌کنه. با استفاده از اطلاعات جغرافیایی مخفی در عکس که با انتشار عکس گربه‌تون در اینستاگرام و شبکه‌های اجتماعی دیگه منتشر می‌کنید، محل گربه شما مشخص می‌شه.
  9. موسسه کارت اعتباری شما می‌دونه چی می‌خرید. مسلمه که موسسه کارت اعتباری شما می‌دونه که چی و از کجا خرید می‌کنید اما نگرانی اونجاست که این اطلاعات روی اعتبار شما تاثیر بگذارن. می‌تونن بر اساس اطلاعات خرید شما تصمیم بگیرند که اعتبار شما ریسک داره یا نه.
  10. فروشگاه خاروبار شما می‌دونه که چه برندی رو دوست دارید. اونها در ازا هر پوینت، کوهی از اطلاعات علایق و اولویت‌های شما جمع‌آوری می‌کنن. فروشگاه‌های زنجیره‌ای از این اطلاعات برای شخصی کردن تجربه شما وقتی که از وب‌سایتشون بازدید می‌کنید و یا در کوپن‌های تخیفی که بهتون می‌دن استفاده می‌کنن.
  11. منابع انسانی می‌دونه که شما چه زمانی می‌خواید استعفا بدید. یک شرکت ساخت نرم‌افزار منابع انسانی به نام Workday الگوریتمی رو تست می‌کنه که با بررسی متن اسناد، پیش‌بینی می‌کنه کدوم کارمند احتمالا فصد استعفا داره.
  12. اگر شما باردار باشید، فروشگاه زنجیره‌ای تارگت می‌فهمه. حتی پیش از اینکه افراد خانواده خبردار بشن.
  13. یوتیوب می‌دونه که چه ویدویی رو تماشا کردید. حتی می‌دونه که چه ویدیویی رو جستجو کردید.
  14. آمازون می‌دونه چی دوست دارید بخونید. نتفلیکس می‌دونه چی دوست دارید ببینید. حتی کتابخونه عمومی می‌دونه چه نوع رسانه‌ای رو دوست دارید که استفاده کنید.
  15. اپل و گوگل می‌دونن که از سیری و کورتانا چی پرسیدید.
  16. باربی فرزندتون به شرکت متل می‌گه که اون و فرزندتون چیا به هم گفتن.
  17. در برخی شهرهای بزرگ مثل شیکاگو و کانزاس سیتی، قبل از انجام جرم پلیس می‌دونه شما قراره جرمی رو مرتکب بشید.
  18. بیمه ماشین شما می‌دونه کی و کجا رانندگی کردید و ممکنه به خاطرش جریمه بشید حتی اگر درخواست جبران خسارت نکرده باشید.
  19. دلال‌های اطلاعات به شرکت‌های بی‌اخلاق کمک می‌کنند تا مشتری‌های آسیب‌پذیر رو شناسایی کنند. برای مثال ممکنه جمعیتی رو به عنوان آسیب‌دیده مالی معرفی کنند و براشون تبلیغ وام‌های کوتاه‌مدت پربهره بفرستند.
  20. فیسبوک با بررسی اطلاعات لایک‌های شما می‌دونه که هوش شما چقدره، جقدر از زندگی‌تون راضیید و آیا از نظر حسی تعادل دارید یا خیر.
  21. اپلیکیشن‌هایی که نصب کردید ممکته به اطلاعات خیلی زیادی دسترسی داشته باشند. بازی انگری بیردز به فهرست اطلاعات تماس و موقعیت مکانی شما دسترسی داره. بازی Bejeweled شماره تلفن شما رو می‌دونه. بعضی اپ‌ها حتی اجازه دسترسی به میکروفون رو می‌گیرن تا زمان استفاده ازشون، صدای محیط رو ضبط کنن.

این فهرست فقط بخشی از توده یخ شناوره. هرچقدر بیشتر می‌فهمیم که داده‌های عظیم چه منافعی برای ما دارن، اطلاعات بیشتر و بیشتری از خودمون منتشر می‌کنیم. مثلا اپلیکیشن Health آیفون اطلاعات بسیار شخصی از وضعیت سلامت ما رو جمع‌آوری می‌کنه. به عنوان مشتری، به ما مربوطه که حواسمون باشه چه زمانی، چه چیزی رو به چه کسی می‌دیم. دوست دارم که نظر شما رو در مورد این موضوع بدونم.

پ‌ن:

نوشته بالا ترجمه آزادی بود از مقاله‌ای در فوربس. اشاره به داده‌های عظیم به عنوان یک موجود، توی مقاله بود و می‌دونم بهش نقد دارید 🙂

هرچند که تمرکز این نوشته روی اروپا و آمریکا بود اما مساله اطلاعات شخصی داره گریبان‌گیر ما هم می‌شه. شرکت‌های تبلیغاتی به تبع آشنایی با روش‌های روز دنیا دارند خودشون رو مجهز می‌کنند. مشکل اینجاست که در کشور ما تا حالا نه قوانین مناسبی برای تعیین حقوق و مسئولیت‌ها در این بخش وضع شده و نه نهادهای نظارتی، نقش خودشون رو انجام دادند. اسپمرها به راحتی به دیتابیس «شرکت‌های معتبر» دسترسی دارند، کارمندان شرکت‌ها اطلاعات رو خارج می‌کنند و «بیزینش» خودشون رو باهاش راه می‌اندازن و نهایت اعتراض افراد از طریق شبکه‌های اجتماعی مثل توییتر بوده.

برای نمونه شرکتی مثل البسکو بارها برای من اسپم فرستاده، با وجود درخواست برای عدم ارسال، اسپم تکرار شده و با بررسی بیشتر متوجه شدم که ایمیل من رو از مجموعه pictureuu گرفتند و خودم هیچ‌وقت مستقیم عضو سایت یا خبرنامه‌شون نشدم. هر دو مجموعه یک جورهایی وابسته به شرکت تبلیعاتی clickyab اند. با وجود اعتراض به این مساله به کلیک‌یاب و مدیر این مجموعه در توییتر، پاسخی دریافت نکردم.

کلیک یاب

شما هم از تجاربتون بگید. از پیشنهادتون برای اصلاح وضع موجود و استفاده بهینه از تکنولوژی.

استاندارد
امنیت

پشت‌پرده‌ی تبلیغ اپلیکیشن ردیابی همسر و فرزند

چند وقت پیش با مشاهده ترس ایجاد شده بین دوستام، تبلیغ هک تلگرام رو بررسی کردم. این چند روز متوجه شدم که تبلیغ دیگه‌ای داره دست به دست می‌چرخه: اپلیکیشن ردیابی همسر وفرزند.

اپلیکیشن ردیابی

یک گروه خصوصی در تلگرام، یک دامنه رایگان که نیازی به ثبت اطلاعات شخصی نداره و تبلیغ نقض حریم خصوصی دیگران. آستین‌ها رو بالا بزنیم و ببینیم این دفعه کی داره از ترس آدم‌ها و رابطه‌های مشکل‌دار، پول درمیاره.

ابتدا سایت رو چک کردم که بدافزار نداشته باشه که توی اون زمانی که چک کردم، نداشت. سایت رو باز کردم و بعد از کلی توضیح و تبلیغ، دو تا لینک برای خرید وجود داشت.

ردیاب پیشرفته همسر فرزند و بیماران

لینک پرداخت به سایت ferestandesabad[dot]com بود که یک سایت خرید اینترتی است. این لینک الزاما به معنی همکاری نیست و می‌تونه مدیر اون سایت هم فریب خورده باشه. این سایت از فزوشگاه ساز ferestande.com استفاده کرده.

با بررسی سورس صغحه متوجه شدم در نسخه‌های اولیه سایت، یک شماره تلفن برای پیگیری خرید وجود داشته که احتمالا از ترس شناسایی، مخفیش کردند اما این کار خیلی ناشیانه انجام شده.

شماره تماس

با جستجوی بیشتر متوجه شدم که این سایت با دامنه‌های مختلف در دسترسه و به شکل قارچ‌گونه زیاد شده. با تمرکز بر شماره تلفن مخفی شده به یک دامنه قدیمی‌تر رسیدم که اکنون در دسترس نیست. قاعدتا برای پاک کردن ردهای احتمالی.

دامنه قدیمی

از سرویس بسیار خوب آرشیو، به نسخه‌ای از این سایت رسیدم. با همون متن بالا ولی به جای پرداخت از طریق سایت ferestandesabad[dot]com این‌بار از pardakht212.tk استفاده شده که اون هم دیگه دردسترس نیست. اما نکته جالب، گزینه‌ای بود برای خرید پستی.

سبد خرید

این سبد لینک شده بود به سایت mobileapp4[at]com که دردسترس نیست اما چک کردن مشخصات ثبت‌کننده دامنه و IP می‌تونه در رسیدن به شیاد، راه‌گشا باشه.

MobileApp4

طبق بررسی‌های من ایمیل heydarymarjan یک ایمیل برای ساخت یک هویت تقلبی است و پوششیه برای هویت شخص اصلی پشت این تبلیغات. همونطور که می بینید ایشون خودشون رو «John Wooden» معرفی کردند. از این مرحله به بعد با یک‌سری ابزار و سرچ‌های تو در تو، به لیستی از دامنه‌های ثبت شده این هویت تقلبی رسیدم و با تطبیق سرورها، نتایج جالبی به دست اومد. یکی از دامنه‌های ثبت شده خانم «مرجان حیدری» gharardad1394[at]com است که با سایت ferestandesabad[dot]com سرور مشترک دارند.

Reverse IP Lookup

بنابراین رابطه سایت فروش اپلیکیشن ردیابی و سایت پرداخت محصول، فراتر از یک اتفاق و یا فریبه. به نظر می‌رسه که این دو سایت توسط یک مجموعه اداره می‌شه. مجموعه سایت‌های فرستنده، فرستنده آباد سبد، ارزون کالا و غیره با ایمیل cheapdown در جیمیل و به اسم آقای محمود سفیدپیشه ثبت شده‌اند. هم آقای سفیدپیشه و هم خانم حیدری (یا اونجور که خودشون رو معرفی کردند آقای جان وودن)، از realtimeregister.com برای ثبت دامنه استفاده کرده‌اند.

محمود سفیدپیشه

در نتایج جستجوی mobileapp4 در گوگل، به نسخه‌هایی از سایت بر‌می‌خوریم که با اسم «ارزون کالا» در حال فروش محصولات بوده. ارزون کالا از سایت‌های آقای سفید‌پیشه است و دامنه mobileapp4 را خانم حیدری (هویت تقلبی) ثبت کرده است.

ازرون کالا

شبکه دامنه‌های ثبت شده این دو هویت و ip سرورها رو در گراف زیر ببینید.

network

در صورتیکه از طریق پرداخت به سایت‌های واسطه آقای سفیدپیشه دچار ضرر شده‌اید یا فکر می‌کنید که از طریق اپلیکیشن‌های توزیع شده، حریم خصوصی شما نقض شده، می‌تونید از طریق آدرس و شماره تلفن زیر که در پورتال شرکت پست نوشته شده، با این مجموعه در تماس بوده و به صورت قانونی حقوق خودتون رو پیگیری کنید. همچنین پیگیری مالکیت شماره تلفن ۰۹۱۹۷۴۳۷۴۹۶ می‌تونه راه‌گشا باشه.

Post Portal

پ‌ن:

 با وجود همه مدارک بالا که نشون می‌دن آقای محمود سفیدپیشه کسیه که سایت‌های فروش اپلیکیشن ردیابی رو اداره می‌کنه اما درصدی از خطا در هر تحقیقی محتمله. در صورتیکه ایشون دفاعی در این خصوص داشته باشند، خوشحال می‌شم که در کنار این نوشته منتشر کنم. به همین دلیل، ایمیلی برای هر دو نفر ارسال کردم.

email

استاندارد
امنیت

فیت‌بیت بر مچ یا ماری درآستین؟

در خبرها خوندم که مردی با دیدن دیتای فیت‌بیت همسرش، خیلی زودتر از او فهمید که بارداره. داستان از این قراره که آقای دیوید ترینیداد برای خودش و همسرش مچ‌بند فیت‌بیت رو می‌خره و عادت داشته که مشکلات احتمالی دستگاه رو با کاربران ردیت درمیون بگذاره و حلشون کنه. دیوید یک روز متوجه نمایش ۱۰ ساعت افزایش فعالیت همسرش می‌شه در حالیکه فعالیتش تغییری نکرده بود.

نمودار فیت‌بیت

این مورد رو با بقیه کاربرا مطرح می‌کنه که ببینه قبل از اینکه مچ‌بند رو برای تعمیر به پشتیبانی بفرسته، خودش کاری از دستش بر میاد برای درست کردن تنظیمات یا نه. یکی از کاربرها راهنمایی می‌کنه که ممکنه مشکل از دستگاه نباشه و همسر دیوید روزهای پراسترسی رو داشته و یا شاید باردار باشه. دیوید و همسرش پیش دکتر می‌رن و معلوم می‌شه که این زوج خوش‌بخت دارند بچه‌دار می‌شن.

در اتفاق جالب دیگه‌ای، آقای کوبی سوتو که تجربه ناخوشایند جدایی از دوست‌پسرش رو در سال جدید داشته، با بررسی نمودارهای فیت‌بیت متوجه می‌شه که زمان شنیدن خبر در تاریخچه فعالیت جسمیش دیده می‌شه.

جدایی

کوبی این گراف رو توییت می‌کنه که بیش از دو هزار بار ریتوییت می‌شه و توجه زیادی رو جلب می‌کنه. شرکت سازنده فیت‌بیت بهش پیام داد: «you broke the internet with your broken heart & now we’re here to mend it with more than just a hug. DM us so we can help out!» و براش یکی از آخرین محصولاتش رو فرستاد.

افراد دیگه‌ای هم نمونه‌ای از این اطلاعات رو منتشر کردند که نشون‌دهنده لحظه‌های خاصی از زندگیشون بوده. مثلا گراف زیر مربوط به زمانیه که تاندون آشیل یک نفر پاره شده.

تاندون آشیل

فیت‌بیت تنها نیست

این حالات روحی و جسمی، فقط با یک ضربان قلب قابل شناسایی بودند حالا فکر کنیم به کلیه اطلاعات پزشکی از فشار خون و سابقه بیماری و تاریخچه وزن و دمای بدن و کلی داده دیگه که دستگاههای جدید پزشکی از ما نگه می‌دارن و با دیتابیس رد و بدل می‌کنن. یا دستگاه‌های دیگه‌ای که کمک می‌کنن میزان مسیر طی شده رو با gps بسنجیم، روی نقشه علامت بگذاریم و با دیگران شر کنیم.

این همه داده‌ای که تولید می‌کنیم و اینجا و آنجا ثبت می‌کنیم، به کارمون میاد یا به کارشون؟ مسلما به کار هرکی بیاد، خودمون هم ازش استفاده می‌کنیم. بالا رفتن کیفیت زندگی، افزایش دقت در سرویس بهداشت و غیره. فقط یک نکته رو نباید فراموش کنیم. همونقدر که به امنیت پسورد بانکمون حساسیت داریم و دنبال اینیم که وب‌سایت بانک از https استفاده کنه و یا دیتا رو رمزگذاری شده نگهداری کنه، باید به داده‌های فیزیولوژیک و مکانی هم حساس باشیم. به زودی تولید این داده‌ها چندین برابر می‌شه، زمانی که اینترنت اشیا (Internt of things) جای خودش رو باز کنه و محتویات یخچال و رنگ لباس‌هایی که برای شستشو گذاشتیم هم روی اینترنت این‌ور و اون‌ور بره. باید از همین الان به تولیدکننده‌ها فشار بیاریم که محصولات رو با سطحی قابل دفاع از نظر امنیت دیجیتال و حفظ حریم‌خصوصی تولید بکنند.

پ‌ن: فیت‌بیت یک مچ‌بند است که اطلاعات مربوط به فعالیت جسمی، ضربان قلب، کالری مصرف شده و مانند اون رو ثبت می‌کنه و کمک می‌کنه که با تحلیلش، روش و زمان فعالیت رو تنظیم کنیم.

لینک خبرها:

http://mashable.com/2016/02/10/fitbit-pregnant/#wCUykXYf1kq6

http://mashable.com/2016/01/20/fitbit-captures-breakup-moment/#JtyUqoDH1iqh

استاندارد