Согласно последним данным Mozilla, изучавшей практики обеспечения конфиденциальности приложений для отслеживания менструального цикла, приложение Stardust передавало конфиденциальную информацию о здоровье пользователей сторонней аналитической компании RudderStack. Эти данные включали дату рождения пользователя, тип используемых контрацептивов, репродуктивные цели и конкретные симптомы, которые испытывал пользователь, и связывали эту запись с уникальным идентификатором вместо имени человека. (FTC давно предупреждала, что это не делает данные анонимными и не предотвращает их привязку к конкретному человеку.)
Исследование Mozilla подчеркивает риски для безопасности и конфиденциальности при использовании приложений для отслеживания менструального цикла и других приложений для здоровья, которые передают данные третьим сторонам. Часто это происходит в фоновом режиме работы приложения и не видно пользователю. Приложения нередко делятся данными с другими сервисами для хранения, аналитики и платежей, но передача информации пользователей третьим сторонам по своей сути несет риски, такие как потенциальные сбои в системе безопасности, утечки данных или запросы этих данных со стороны правоохранительных органов.
TechCrunch ранее писал о Stardust в 2022 году, после того как количество загрузок приложения резко возросло после отмены конституционного права на аборт в США. Stardust утверждал, что использует сквозное шифрование — то есть даже компания не может получить доступ к данным пользователей, — но TechCrunch, проанализировав сетевой трафик приложения, обнаружил, что это утверждение было ложным.
Исследователь безопасности Mozilla Шошана Водински использовала аналогичную методику анализа сетевого трафика нескольких трекеров менструального цикла, включая Stardust, чтобы понять, как приложения собирают и передают данные (если передают) третьим сторонам. Водински обнаружила, что Stardust было единственным приложением из шести протестированных, которое передавало конфиденциальные данные о здоровье пользователей другой компании.
Как сообщает BBC News, представитель Stardust заявил, что RudderStack «по контракту запрещено продавать эти данные или использовать их в своих целях». Поскольку обе компании базируются в США, Stardust и RudderStack все еще могут получать от правоохранительных органов запросы на предоставление информации о пользователях, включая данные о здоровье, хранящиеся на их серверах.
Основательница Stardust Рэйчел Моранис не ответила на запрос TechCrunch о комментарии в четверг, а также на вопросы о том, получала ли компания запросы на данные своих пользователей. Представитель подтвердил получение электронного письма, но не предоставил комментариев.
Из шести приложений, протестированных Водински, Mozilla рекомендовала Euki как «абсолютно чистое», поскольку не было замечено, чтобы это приложение передавало какие-либо данные третьим сторонам при использовании основных функций, а данные о здоровье пользователя не покидали его устройство.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker




