A norvég közszolgálati média (NRK) oldala szombaton közölt riportot a felhasználói helyadatokkal való gátlástalan seftelésről, egy konkrét eseten keresztül is bemutatva, hogy az elvileg anonim információ milyen egyszerűen felhasználható az egyes felhasználók azonosítására és mozgásának pontos követésére. Ilyen lokációs adatok gyűjtésére egy nagy csomó mobil alkalmazás kér engedélyt a telepítésekor, elvileg minden esetben azért, mert erre szüksége van a működéséhez elengedhetetlen funkcióiban; a helyadatok azonban annyira értékesek, hogy mára külön iparág épült köréjük, és sok applikáció mintegy mellékesen abból is pénzt termel, hogy eladja azokat valamilyen harmadik félnek.

A szóban forgó adatokat továbbértékesítő cégektől (data reseller) aztán a kereskedelmi vállalkozásoktól a kormányzati ügynökségekig mindenki megvásárolhatja az ilyen információt, ha kezdeni akar vele valamit. Bár azt a legtöbben hangsúlyozzák, hogy anonimizált állományokról van szó, amelyek alapján nem azonosíthatók be az egyes felhasználók, a dolog sok esetben minimum véleményes, az NRK munkatársai pedig halál egyszerű módon utána is jártak, hogy a névtelenség ezekben az esetekben mennyire formális dolog lehet. Ugyanakkor viccet csinál az uniós adatvédelmi szabályozásból (GDPR) is, ami minden esetben előírja az adatkezelés világos céljának meghatározását.

Az NRK a most bemutatott kísérletben több asatkereskedőt is megkeresett, végül egy Tamoco nevű, 2012 óta működő brit cégtől vásárolta meg 35 ezer norvég koronáért (nagyjából 1,1 millió forintért) 140 ezer darab, Norvégiában használt okostelefon és táblagép 2019-es GPS adatait. Ezek néhány méteres pontossággal mutatják, hogy az adott eszközök mikor és merre jártak, a koordinátákat magában foglaló tábla összesen 400 millió ilyen lokációs adatból állt. Ezekhez természetesen nem volt hozzárendelve semmilyen információ az egyes felhasználókról, maguk a készülékek azonban külön-külön követhetők, így a legtöbb esetben nem nagy dolog összekapcsolni azokat a megfelelő személyekkel.

Annyira anonim, hogy fél perc alatt összeköthető a tulajdonossal

Az újságírók a találomra választottak ki egy profilt, és megnézték, hogy milyen földrajzi koordináták tartoznak az egyes időpontokhoz. Ebből könnyű volt arra következtetni, hogy hol lakik és hol dolgozik az illető, és azt is összerakták, hogy miylen címeket látogat meg rendszeresen. Innentől a címek azonosítását és a könnyed facebookos háttérmunkát követően egyértelműen sikerült azonosítani a felhasználót, egy logisztikai cég 30 éves alkalmazottját, akit fel is kerestek, és megosztották vele a felfedezéseket. A helyadatok alapján kiderült, hol laknak a szülei, hova jár ebédelni, hol volt állásinterjún, mikor és hol született gyereke, és egy csomó más esemény, amire ő maga már nem is emlékezett világosan: ilyen volt például egy állatkerti látogatás, ahol még az is követhető volt, milyen útvonalat járt be az állatkertben.

Az NRK beszámolójából az is kiderül, hogy korábban gyakori megbeszéléseket folytattak a Tamoco képviselőivel, azonban amikor felfedték, hogy valójában nem az előzetesen megjelölt közlekedésfejlesztési projekten dolgoznak, a cég még a londoni irodájában személyesen megjelenő újságírókkal sem volt hajlandó szóba állni. Ennek megfelelően a kísérlettel kapcsolatos kérdésekre sem válaszoltak, ami önmagában is egyfajta válasznak tekinthető. Maga a jelenség persze nem újdonság, korábban az amerikai The New York Times vagy a svéd Dagens Nyheter is bemutatta, mennyire egyszerűen követni lehet az egyes személyeket a megvásárolható anonim lokációs adatok alapján. Az ügy most Norvégiában irányította rá a figyelmet a telefonokon futó mobil alkalmazások sajátosságaira, ennek nyomán pedig a norvég fogyasztóvédelem is vizsgálatot indított.

Bár úgy tűnhet, hogy a érintett alkalmazások fejlesztői, illetve a Tamoco és a hasonló adatbrókerek teljesen legálisan járnak el, ez nem teljesen igaz. A GDPR életbe lépése óta pedig egyértelműnek tűnik, hogy egyáltalán nem igaz: a felhasználóknak a gyakorlatban fogalmuk sincs, hogy hol kötnek ki az adataik és azokat milyen célokra használják, a fenti kísérlet pedig újra megmutatta, hogy a személyes adatok esetenként az elsődleges azonosítók nélkül is tökéletesen hozzárendelhetők a megfelelő felhasználókhoz. Különösen, hogy az okkal vagy ok nélkül bekért adatokat teljesen ismeretlen cégek adják-veszik, és ebben az üzleti modellben sem a felhasználók, sem az adatokat eredetileg begyűjtő alkalmazás nem rendelkezik semmilyen ellnőrzéssel.

Az NRK egyébként már tavaly tavasszal is kijött egy hasonló beszámolóval: akkor a HMD Global Nokia 7 Plus okostelefonjairól derült ki, hogy folyamatosan adatokat küld a China Telecom vnet.cn címen működő működő szerverére, miután egy finn felhasználó megfigyelte, hogy készüléke rendszeresen kapcsolatba lép vele, és titkosított adatcsomagokat küld erre a címre. Abban az ügyben a finn adatvédelmi biztos is elkezdett vizsgálódni, a HMD Global pedig egyfelől visszautasította a rosszhiszeműség vádját, másrészt egy szoftverhibára hivatkozott, amelyhez már ki is adta a megfelelő javítócsomagot.