מחקר חדש: רשתות פרסום אוספות מידע על המשתמשים גם ללא אישורם

מילוי טפסים ברשת, כמו למשל לשם הזמנת לילה במלון, כרטיס לסרט או על מנת לקבל הצעת מחיר לרכב, היא פעולה שכיחה למדי המתבצעת כמעט כלאחר יד. לא אחת, המשתמשים מתחרטים על הרישום עוד לפני שהם משלימים אותו וזונחים אותו לטובת עיסוקים אחרים, תוך הנחה שהפרטים שהוזנו אך לא נשלחו - לא שותפו עם איש.

אלא שמחקר חדש שמובילים חוקרים מאוניברסיטת לוזאן השוויצרית והאוניברסיטאות הבלגיות רדבאוד ולוון, מגלה שלא רק שפרטים נאספים מטפסי רישום שלא הושלמו, אלא שיש לכך גם זווית ישראלית לא זניחה. המחקר פורסם מוקדם יותר החודש באתר הפקולטה להנדסת חשמל באוניברסיטת לוון הבלגית, והוא צפוי להיות מוצג באופן רשמי באוגוסט הקרוב בכנס אבטחת המידע האמריקאי Usenix.

  

"הפרת דיני הפרטיות באירופה, ארה"ב וישראל"

לפי הנטען במחקר, טאבולה הישראלית, המפעילה רשת פרסום דיגיטלית, אספה פרטים ללא אישור מפורש מהמשתמש, או ידיעתו. טאבולה היא מהמובילות בטבלת התוכנות שאוספות פרטים אישיים מטפסי מילוי מקוונים המשובצים בפרסומות, עוד בטרם המשתמשים לוחצים על כפתור השליחה - המהווה בפועל את הסכמתם לאיסוף הנתונים, כך עולה מהמחקר האירופי. בין האתרים בהם התגלתה דליפת פרטים לטאבולה: אתרי החדשות USA Today, האינדיפנדנט וביזנס אינסיידר.

לצד טאבולה, זוהו תוכנות נוספות האוספות פרטי דוא"ל ללא אישור מפורש, בהן מטא, אדובי, פרדוט ולייב ראמפ האמריקאית. יאנדקס הרוסית נכללה גם היא במחקר כחברה היחידה שנקטה באיסוף פרטי דוא"ל בנוסף לסיסמאות.

אחת מכותבות המחקר, אסומן סנול מאוניברסיטת לוון, סיפרה לגלובס שלא חזתה תוצאה כה פנומנלית לפיה אלפי אתרים אספו פרטי משתמשים ללא אישורם. הרעיון לעריכת המחקר הגיע לאחר מקרה מפורסם לפיו מידע אודות משתמשים דלף ממחשבון משכנתא מקוון בארצות הברית.

"אנחנו לא יכולים לדעת מדוע טאבולה עוסקת בסוג זה של מעקב, אבל היא חברה גדולה וכתובות דוא"ל מהוות גורם מזהה חזק למעקב אחרי משתמשים בין אתרים ובין מכשירים", אמרה סנול. את כתובות האימייל, יש לציין, שולחת טאבולה לשרת באופן מגובב, כלומר באופן מעורבל המונע את זיהויו. "בניתוח המשך, מצאנו שאתרים רבים שבהם זיהינו דליפות לרשת של טאבולה, החלו להשתמש בבאנרים של הסכמה, שמנעו כל תקשורת של הגולשים עם האתר לפני מתן הסכמה. זה הפחית באופן משמעותי את מספר ההדלפות לטאבולה", סיפרה סנול.

"למעט מקרים חריגים, איסוף מידע מזהה על משתמש ללא הסכמתו המודעת לאופן האיסוף, מטרת האיסוף או זהות האוסף - מהווה הפרה של דיני הפרטיות באירופה, ארצות הברית וישראל", אמרה לגלובס עו"ד אושרית אביב, מומחית לדיני טכנולוגיה ופרטיות שפעילה בין השאר בתעשיית הפרסום הדיגיטלי באירופה. "זה עוד מבלי להזכיר את דיני המחשבים ברשת וחוקי הספאם במדינות השונות. גם עצם גיבוב המידע אינו מכשיר את השרץ, כיוון שהאיסוף עצמו אסור מלכתחילה באופן שבו הוא נעשה, ומכיוון שמי שבידיו ערכי המקור, יכול בקלות ללמוד על זהות המשתמשים - על אף הגיבוב".

כל האמצעים כשרים לאיסוף מידע אישי

על מנת לבדוק מי מהחברות מבצעות את איסוף הפרטים האישיים ובאיזה היקף, החוקרים בנו תוכנה הבודקת איסוף מידע אישי מתוך 100 אלף האתרים הגדולים ברשת, והתמקדו בטפסים מקוונים המשובצים בפרסומות. טפסים אלה מעודדים את המשתמשים להזין את פרטיהם על מנת לקבל מבצעים או הצעות מחיר למוצרים ולשירותים שונים.

למרות שרק לחיצה על כפתור השליחה לאחר הזנת השם, מספר הטלפון או כתובת הדוא"ל מהווה את הסכמת הלקוח לאיסוף פרטיו, הרי שטפסים מקוונים מתוכנתים באמצעות קוד ג’אווה סקריפט המאפשר להם להגיב ולבצע פקודות גם בטרם הסתיים תהליך המילוי.

מעקב אחר התנהגות המשתמש באתר דרך תזוזת הסמן על המסך, הקלדה של אותיות ומילים, שיטוט באתר או גלילה מטה או מעלה, הן פרקטיקות מקובלות בקרב חברות ניטור התנהגות גולשים, והן עושות, בין השאר, שימוש בתכונה זו המוטמעת בקוד. בין התוכנות הישראליות שבלטו בעבר בתחום זה נמצאה קליקטייל הישראלית שנרכשה על ידי חברה צרפתית.

פרסום הממוקד בשליחת קמפיינים ישירות לתיבות הדוא"ל נחשב לאחד מתחומי הפרסום היעילים ביותר, ולכן השגת כתובת אימייל של משתמשים הפכה לפופולרית במיוחד עבור חברות רבות. יתרה מזאת, כתובת האימייל הפכה לתחליף בקרב יותר ויותר חברות שיווק דיגיטלי לתוכנת "העוגייה" (cookie) - מעין קוד המזהה משתמש על פני אפליקציות שונות ואתרים שונים - שבהתקנתו על ידי אפליקציות ותוכנות פרסום נלחמות, לכאורה, אפל, גוגל ומוזילה.

באירופה מתכוונים להגביל איסוף מידע

בימים אלה באירופה מתכוונים להגביל משמעותית את יכולתן של חברות הפרסום הדיגיטלי לאסוף פרטים על משתמשים ולשתף עמם אתרי חדשות ומפרסמים אחרים על גבי אותם אתרים - דבר שעשוי להגביל את כוחן של חברות כמו טאבולה ומטא. גורמים באיחוד האירופי קוראים אף להוציא את תחום הפרסום הפרוגרמטי אל מחוץ לחוק.

לרוע המזל, מחקר כמו זה עשוי רק להזיק לחברות כמו טאבולה ועוד שורה ארוכה של חברות פרסום, כמה מהן ישראליות. "לצערי, המקרה הזה חובר בקלות לשורה של מקרים שמרימים להנחתה של האיחוד האירופי במאמציו למיגור תופעת הפרסום ברשת ו"הריגול" הדיגיטלי הנלווה אליה", טוענת עו"ד אביב. "חבל, כי זה מחבל בניסיונות התעשייה לפעול באופן שקוף וכזה המציית לחוקים.

"מזה מספר שנים שהאיחוד האירופי יוצא למאבק נגד ענקיות הפרסום הדיגיטלי ופרקטיקת הפרסום הפרוגרמטי, שכולל שורת קנסות בסכום מצטבר של 1.65 מיליארד יורו מתוקף דיני הפרטיות האירופים. כמי שעובדת רבות עם האיחוד אני יודעת להגיד כמה המאבק הזה רציני וכמה כל גילוי נוסף על פרקטיקת איסוף מידע תאוות בצע, מהווה חומר לחקיקה האגרסיבית הבאה".

טאבולה: "לא אוספים מידע ללא הסכמה"

בתגובה שנמסרה לגלובס, טענה טאבולה: "החברה ממלאת באופן מלא את תקנות הפרטיות האירופאיות (GDPR) והיא מחויבת לפרטיות ולשקיפות כלפי הלקוחות, המשתמשים והשותפים.

"נדגיש כי כאשר אנו מקבלים אות ‘אין הסכמה’ מגולש, איננו אוספים מידע אישי כלל. כאשר קיבלנו אות הסכמה מגולש המספק באופן פעיל את כתובת המייל שלו, אנו אוספים את המייל ככתובת מגובבת - כלומר, החברה אינה מחזיקה ולא שומרת כל מידע אישי ולא כתובות מייל מקוריות של גולשים בשום מקום ברשומות שלנו.

"בעקבות הפנייה, בדקנו את האפשרות שייתכן ונאספו מיילים מגובבים ללא הסכמה, ולמרות שלא נמצאו נתונים התומכים בכך - נקטנו בכל מקרה משנה זהירות ותיקנו אפשרויות של איסוף מיילים מגובבים כאמור".

***גילוי מלא: ל"גלובס" יש מערכת יחסים מסחרית עם טאבולה