Sosiaalisessa mediassa liikkuu hauskoja testejä, jotka saattavat vaikuttaa harmittomilta. F-Securen tietoturva-asiantuntijan mukaan kannattaa kuitenkin miettiä kaksi kertaa ennen kuin testeille antaa luvan omiin tietoihin.
Katso yllä olevalta videolta, miksi toinen F-Securen tietoturva-asiantuntija pysyy kaukana Facebookista.
Kerroimme helmikuussa Facebookissa leviävästä testistä, jonka avulla jopa tuhannet suomalaiset ovat selvittäneet, miltä he näyttäisivät esimerkiksi elokuvatähtenä tai vastakkaisen sukupuolen edustajana. Uutisoimme silloin, että testin tarjoava Nametests.com -palvelu myy testin tekijöiden tietoja ulkopuolisille tahoille.
Nyt suomalaiset ovat jakaneet jälleen Facebookissa uutta saman palvelun tarjoamaa testiä, jonka avulla voi muun muassa testata, miltä näyttäisi kaljuna.
Nametests.com kertoo nyt yksityisyydensuoja-asetuksissaan, että käyttäjän data kuuluu hänelle itselleen eikä sitä myydä ulkopuolisille tahoille, kolmansille osapuolille. Onko testien tekeminen nyt siis turvallista?
– Turvallista, kyllä. Viisasta? Ei ehkä, sanoo F-Securen tietoturva-asiantuntija Sean Sullivan.
Tiedot menevät mainostajille
Sullivanin mukaan testit keräävät tietoja, joita käytetään tällä hetkellä markkinointiprofiilien luomiseen. Pääasiassa vastaavat palvelut kuitenkin seuraavat yhdysvaltalaisia ja kanadalaisia, sillä Pohjois-Amerikassa voi ostaa kuluttajasta tietoja esimerkiksi tämän verkko-ostoksista ja nettikäyttäytymisestä.
Tietoja voi ostaa monilta eri tarjoajilta ja yhdistää niitä keskenään. Vaikka yritykset eivät tarkalleen tiedä, kuka henkilö on, he voivat identifioida hänet tietoja yhdistelemällä. Näitä tietoja voidaan käyttää esimerkiksi tehokkaaseen kohdennettuun mainontaan.
– Euroopassa tilanne on sirpaleisempi ja maissa, kuten Suomessa, ei ole mahdollista ostaa samaa dataa kuluttajista, eli dataa ei voi yhdistellä, Sullivan sanoo.
Nyt huono käyttäjäkokemus, tulevaisuudessa jotain pahempaa?
Hän selittää, että Euroopassa tietojen keruu voi näkyä kuluttajille esimerkiksi huonona käyttäjäkokemuksena. Hyvä esimerkki on se, kun ihminen ostaa jotakin verkkokaupasta, mutta mainokset samasta tuotteesta seuraavat eri sivustoille vielä usean viikon ajan, vaikka ne eivät ole käyttäjälle enää relevantteja: hän osti jo tuotteen.
– Vaikka se on nyt vain lähinnä ärsyttävää pikemminkin kuin vaarallista, viiden tai kymmenen vuoden päästä, kun nämä asiat ovat yhä enemmän ja enemmän yhteydessä toisiinsa, tietoja voitaisiin käyttää paljon häiritsevämmin.
– Menet esimerkiksi pankkiin, eikä sinulle myönnetä lainaa profiilisi takia, psykologisesti et ole pankille hyvä riski. Eikä tuo tulevaisuus ole niin kaukana nurkan takana, Sullivan kuvailee.
Testit toimivat syöttinä
Asiantuntijan mukaan erilaiset testit ovatkin oiva työkalu yrityksille, jotka haluavat kerätä käyttäjistään dataa, koska testit leviävät ihmisten jakojen kautta helposti ja ne vaikuttavat harmittomilta, täysin tyhjänpäiväiseltä toiminnalta.
– Lapsille pitäisi opettaa, että vaikka ne näyttävät harmittomilta, ne itseasiassa ovat kaikista käytännöllisin syötti houkutella sinut johonkin, joka kerää tietojasi, jos mahdollista.
Sullivanin mukaan yli 40-vuotiaat eivät ole enää niin vaarassa, sillä yritykset ovat jo todennäköisesti luoneet heidän tiedoistaan profiilin. Nuoria ei kuitenkaan pitäisi opettaa toimimaan samalla tavalla, sillä tulevaisuudessa tietoja voidaan käyttää aivan eri tavalla.
Sullivanin mukaan ajatus on tavallaan sama kuin verkkorikollisilla, jotka yrittävät saastuttaa käyttäjän tietokoneen lähettämällä linkin ja sanomalla esimerkiksi ”et ikinä usko, mitä saimme kuvattua sinusta”. Ihminen klikkaa helposti linkkiä, koska haluaa suojella mainettaan ja nähdä, mitä rikollisella on hallussaan.
Nettitestit taas mainostavat palveluaan hauskana, ilmaisena asiana, mutta todellisuudessa testin tekeminen ei ole täysin harmitonta, sillä tietoja kerätään.
"En usko, että tällaiset palvelut tulevat olemaan ollenkaan GDPR-ystävällisiä"
Sullivan esimerkiksi kokeili tehdä Nametest.comin verkkotestejä selaimensa incognito-tilassa. Sivusto ei kuitenkaan päästänyt häntä tekemään niitä, vaan vaati laittamaan sijainnin päälle ja kirjautumaan Facebookin kautta.
– Facebook mahdollisesti tunnistaa käyttäjän sijainnin sisäänkirjautumisen yhteydessä. Tällaiset yritykset ovat fiksuja, he eivät aio lopettaa datan keräämistä eurooppalaisilta käyttäjiltä, Sullivan sanoo viitaten eilen voimaan tulleeseen uuteen Euroopan tietosuoja-aseukseen eli GDPR:än.
Sullivanin mukaan on myös mahdollista, etteivät vastaavat triviaalit palvelut enää ole saatavilla eurooppalaisille käyttäjille, sillä yritykset eivät välttämättä ole valmiita tekemään uuden tietosuoja-asetuksen vaatimia muutoksia.
– En usko, että tällaiset palvelut tulevat olemaan ollenkaan GDPR-ystävällisiä, Sullivan sanoo.
Sullivan uskoo, että tulevaisuudessa on tulossa valituksia mahdollisesti myös suurille yhtiöille tietosuojalain vastaisesta datankeruusta.