500 万人以上が依存しているアプリが悪いはずはないでしょうか?残念ながら、広く使用される場合、これは決して当てはまりません。医療の予約に使用されるDoctolib アプリは、ユーザー データの処理において重大な違反を犯したことが少なくとも証明されました。
Doctolib アプリ: ワンクリックでデータ転送をトリガー
Mobsicher ポータルの専門家は、Doctolib アプリをより詳細に調査し、その結果を次のような非常に印象的な文章にまとめました。その後、Facebook もそれを認識しました。分析によると、このアプリケーションはユーザー データをソーシャル ネットワークや Outbrain などの大手広告会社に渡していたとのことです。」データ トラフィックは非常に「邪魔」だったので、モバイル セキュリティでも同等のことはあまりできませんでした。
2021 年 6 月 18 日に Doctolib アプリの現在のバージョン 3.2.26 をテストしたところ、初めて起動するときにデータ保護免責事項の [許可] フィールドをクリックすると問題があることが判明しました。この時点で、アプリは定期的な GET リクエストを Facebook サーバーと Outbrain サーバーに送信します。これらのリクエストには、ユーザーがアプリ内で実行したアクティビティに関する情報が含まれています」と mobilesicher 氏は説明します。
検索クエリと個人データは Facebook に直接送信されました
確認するために、専門家は予約理由「精管切除術・不妊手術の相談」でログインした後、泌尿器科医を検索しました。そのために、医師を選択し、予約をリクエストし、保険ステータスとして「民間保険」を指定しました。その後、この正確な情報が Facebook サーバーと Outbrain サーバーに送信され、どちらの場合も使用された IP アドレスが含まれます。 Doctolib アプリは、一意の識別番号も Outbrain に送信しました。
この文脈では、ユーザーがデータ処理に積極的に同意する必要があるにもかかわらず、同意の説明が不十分なため、それによって正確に何が起こるかを明確に理解できないことには疑問があります。同プラットフォームが報じているように、弁護士で政治家のパトリック・ブライヤー氏(欧州議会海賊党代表)は、モビルシヒャーの質問に対し、「それが唯一の同意であれば、当然、コンテンツやキーワードの送信は対象外だ」と説明した。
Doctolib アプリはすぐに適応されました
少なくとも、Mobsicher 氏は、Doctolib アプリを開発した企業の迅速な対応を肯定的であると評価しています。 6 月 18 日にデータ保護問題について知らされてから、「批判された Cookie は記録的な速さで Web サイトから削除されました。 2021年6月21日月曜日に再度テストしたところ、FacebookもOutbrainも連絡を受けませんでした。」
フェイスブックからの声明
ソーシャルネットワークでは、この事件について明らかになったコメントも投稿している。 mirai.click.de への公式声明の中で、Facebook の広報担当者は次のように説明しています。
「当社のビジネスツールのユーザーは、個人の健康データを当社と共有することを許可されていません。企業が誤ってこのデータを当社と共有した場合、当社のフィルタリング メカニズムは健康関連情報を検出し、検出されたデータが当社の広告システムに保存される前に削除するように設計されています。今後、当社のツールが正しく実装されるよう、Doctolib と連絡をとっています。」
関連する機密情報は、最初のレポートが公開される前に傍受され、除外されたと続けています。
問題のある特性を示し、広く使用されているアプリケーションは Doctolib アプリだけではありません。 最近、人気の薬局アプリが批判にさらされました。一方、Mozilla は、Google が新しい追跡方法をテストするために Chrome ブラウザを使用していることを理由に、Chrome ブラウザを批判しています。
出典: mobilesicher.de、Facebook