Podgląd linków na Facebooku i Instagramie łamie unijne prawo ochrony prywatności

Raport badaczy bezpieczeństwa Talal Haj Bakry i Tommy Mysk twierdzi, że Facebook Messenger i Instagram zbierają i wykorzystują dane z podglądu linków w sposób, który narusza europejskie prawo dotyczące prywatności.

W październiku ubiegłego roku Bakry i Mysk ujawnili, że podglądy linków w popularnych aplikacjach do przesyłania wiadomości mogą prowadzić do problemów z bezpieczeństwem i prywatnością na iOS i Androidzie. Odkryto, że aplikacje mogą wyciekać adresy IP, ujawniać linki wysyłane w czatach szyfrowanych end-to-end, pobierać duże pliki bez zgody użytkowników oraz kopiować prywatne dane poprzez podglądy linków.

W tym raporcie Bakry i Mysk odkryli, że Facebook Messenger i Instagram zachowywały się inaczej niż inne aplikacje do przesyłania wiadomości, ponieważ pobierały na swoje serwery całą zawartość dowolnego linku, niezależnie od jego rozmiaru. Zapytany o to niezwykłe zachowanie, Facebook podobno powiedział, że uważa, że to “działa zgodnie z przeznaczeniem”.

Kopie danych podglądu linków przechowywanych na zewnętrznych serwerach mogą być przedmiotem naruszeń lub niewłaściwego wykorzystania, co może być szczególnie niepokojące dla użytkowników, którzy wysyłają linki do wrażliwych lub poufnych danych prywatnych, takich jak dokumenty biznesowe, rachunki, umowy, lub dokumentacji medycznej.

Teraz Bakry i Mysk odkryli, że Facebook niedawno przestał generować podglądy linków w Messengerze i Instagramie dla użytkowników w Europie, aby zachować zgodność z dyrektywą ePrivacy Unii Europejskiej. Zmiana dotyczy również użytkowników spoza Europy, jeśli komunikują się z kimś w tym regionie.

Linki wysyłane w Facebook Messengerze widoczne w Europie i innych regionach

Naukowcy sugerują, że skoro Europa ma “jedne z najbardziej solidnych przepisów dotyczących prywatności”, a Facebook usunął podglądy linków pozornie zgodne z przepisami, firma musiała wykorzystywać dane z podglądu linków w sposób, który naruszałby dyrektywę ePrivacy.

Jest to domyślne potwierdzenie, że obsługa podglądu linków w Messengerze i Instagramie przez Facebooka nie była zgodna z regulacjami dotyczącymi prywatności w Europie, w przeciwnym razie nie wyłączono by tej funkcji... Zatrzymanie tej usługi w Europie mocno sugeruje, że Facebook może wykorzystywać te treści do innych celów niż generowanie podglądu.

Bakry i Mysk uważają, że stosowane przez Facebooka podglądy linków mogły naruszać artykuły 4:1a, 4:2 i 5:3 dyrektywy o prywatności i łączności elektronicznej. Artykuły te obejmują wymóg, że dane osobowe mogą być dostępne tylko przez upoważniony personel do celów prawnych, potrzebę informowania użytkowników o ryzyku naruszenia danych oraz potrzebę uzyskania zgody użytkownika po dostarczeniu mu “jasnych i wyczerpujących informacji” o tym, jak dane są gromadzone.

Jak linki mogą odnosić się do danych osobowych, ePrivacy Dyrektywa uniemożliwia Facebook od przechowywania, przetwarzania lub korzystania z tych informacji bez wyraźnej zgody użytkowników w UE. Facebook musiałby również wyjaśnić użytkownikom, dlaczego jest pobieranie treści podglądu linków przed prośbą o zgodę.

Bakry i Mysk wykazali, że serwery Facebooka pobierają i przechowują treść linków przesyłanych za pośrednictwem jego aplikacji, a jeśli ten sam link jest przesyłany po raz drugi, Facebook generuje podgląd linku bez pobierania jego treści. To rzekomo wskazuje, że treść jest przechowywana lub buforowana przez Facebooka i jest udowodnione przez ilość danych, które są przesyłane z urządzenia użytkownika.

Podglądy linków nadal są dostępne w Messengerze i Instagramie dla użytkowników spoza Europy. Obecne warunki korzystania z usług Facebooka stanowią, że wszelkie treści udostępniane przez użytkowników za pośrednictwem usług Facebooka będą wykorzystywane do różnych celów, takich jak personalizacja treści, reklam, przedstawianie sugestii i zdobywanie wiedzy o użytkownikach, zarówno w ramach produktów Facebooka, jak i poza nimi. W Europie takie wykorzystanie danych osobowych wymaga obecnie wyraźnej zgody użytkowników, nawet jeśli jest ono zatwierdzone w Warunkach korzystania z serwisu Facebook.

Facebook wyłączył podglądy linków dla użytkowników w Europie, aby dostosować się do nowych przepisów dotyczących prywatności. Potwierdza to nasze obawy dotyczące prywatności, że wysyłanie linków do prywatnych plików w Messengerze i Instagramie jest niebezpieczne. Podczas gdy Facebook wyłączył podglądy linków w Europie, użytkownicy w innych regionach powinni powstrzymać się od wysyłania linków za pośrednictwem jednej z tych aplikacji. Lepszą opcją byłoby przejście do innych aplikacji do przesyłania wiadomości, które szanują prywatność użytkowników we wszystkich częściach świata tak samo.

Bakry i Mysk aktywnie zalecają teraz użytkownikom spoza Europy, aby nie wysyłali linków w Messengerze lub Instagramie ze względu na obawy dotyczące prywatności, a nawet zasugerowali, aby użytkownicy przenieśli się całkowicie do innych aplikacji do przesyłania wiadomości.