Dokumenty odhalené soudem potvrdily, že Facebook zneužíval svou VPN k tomu, aby špehoval konkurenci. Dělal to důsledným sledováním uživatelských aktivit. Díky těmto zjištěním pak okopíroval např. důležité funkce Snapchatu, který utrpěl. Nezaniknul, ale přišel o jednu z konkurenčních výhod.
Smyslem VPN je vytvořit virtuální tunel, kterým proudí vaše komunikace, přičemž tento tunel tvoří uzavřený prostor, takže vaši komunikaci nemůže nikdo odposlouchávat. Ovšem s výjimkou poskytovatele VPN, jenž z logiky věci může uchovávat záznamy o provozu. Důvěra v poskytovatele je tudíž nutná.
Protože provoz VPN není levný, člověk by měl zpozornět před zdarma dostupnými službami a položit si otázku, jak získávají peníze na provoz. Facebook koupil Onavo v roce 2013, přičemž začátkem roku 2018 se doporučení k používání objevily v klientu Facebooku pro iOS. Firma tehdy potvrdila, že se to týkalo jen USA. Nebylo to poprvé.
Před použitím VPN zkoumejte její důvěryhodnost
Facebook vydělával a vydělává na prodeji reklam, které cílí na základě důsledného zkoumání nás a našich aktivit. Díky Onavu mj. věděl, které aplikace se stávají hitem, které naopak zpomalují, ale také které funkce zaujaly. Tyhle praktiky popsal v roce 2017 list The Wall Street Journal. Nemluvil jen o potenciálu ke sledování, který byl a je zjevný. Zjistil, že Facebook skrze tuto VPN reálně sleduje uživatelskou aktivitu, aby mohl sledovat trendy na mobilech.
Neférová konkurenční výhoda
Díky posbíraným informacím si Facebook uvědomil, že by měl zareagovat na tehdy nový formát dočasných příspěvků na Snapchatu. A tak v srpnu 2016 spustil Instagram Stories. Snapchatu tím hodil klacek pod nohy a služba zpomalila růst. Podobné to bylo s tehdy začínající sociální sítí Tbh.
Nejspíš jste o ní neslyšeli, protože byla zaměřená na středoškolačky a středoškoláky. Facebook ji koupil po pouhých třech měsících od zahájení pilotního provozu v roce 2017, protože jeho data indikovala hit. Neznamená to, že popularita službě vydrží a zrovna Tbh rychle uvadlo a skončilo.
Současně ani nelze říct, že VPN je nutně jediným zdrojem trendů. Je možné například sledovat žebříčky stažených aplikací, diskuze na sítích apod. Jen Onavo mohlo tyto trendy zachytit rychleji, případně pohodlněji. Stalo se výkonným vysavačem soukromí, takže ji některá média označila za spyware a Apple ji v létě 2018 odstranil z App Storu kvůli porušení podmínek o sběru uživatelských dat.
Onavo bylo z App Storu staženo v létě 2018
Podmínky totiž změnil tak, aby aplikace nemohly sledovat aktivitu v jiných aplikacích za marketingovými účely. V ekosystému Googlu služba vydržela do roku 2019, kdy byla v květnu zrušena.
Aplikace byla popisována jako nástroj pro ochranu surfování, současně v App Storu přiznávala, že analyzuje datový provoz, aplikace a weby. Nepřiznávala ovšem, k čemu všem zjištění slouží. Tehdejší popisek pouze vágně tvrdil, že data zlepší samotnou službu Onavo, případně Facebook, ale také že Onavo nahlédne do produktů a služeb, jež jsou pro lidi hodnotné. Předchozí tvrzení o ochraně soukromí tak bylo faktickým nesmyslem.
Za používání vám dokonce zaplatíme!
Čili popisek technicky říkal, co všechno je možné. Byl ovšem natolik vágní, že si nejspíš málokdo uvědomil rozsah sledování ve VPN. Facebook v roce 2018 před americkým kongresem přiznal, že skrze Onavo analyzoval, co lidé provádí v jiných aplikacích. Pozornost na firmu se zaměřila, protože v témže roce vyšel najevo sledovací skandál Cambridge Analytica.
Mark Zuckerberg, ředitel Facebooku a dnešní Mety, odmítl, že by data z Onava byla spojena s konkrétním člověkem. To ostatně nebyl jeho cíl, pokud mělo sledovat trendy. Jeden rozbor činnosti VPN ukázal, že aplikace je schopná sledovat aktivitu v mobilu, i když je samotná VPN vypnutá. Začátkem roku 2019 díky magazínu TechCrunch vyšlo najevo, že Facebook dokonce platil dospívajícím, aby Onavo používali. (Interně šlo o projekt Atlas.)
Zuckerberg podstoupil řadu „grilování“ zejména po skandálu Cambridge Analytica
Před koncem roku 2020 Australská komise pro hospodářskou soutěž a ochranu spotřebitele (ACCC) zažalovala firmu Facebook, tedy dnešní Metu, právě kvůli Onavu. Podle jejího názoru tahle VPN byla australskému publiku propagována na základě nepravdivých, klamavých nebo zavádějících tvrzení.
Loni v červenci soud rozhodl, že dvě zodpovědné dceřinky Mety každá zaplatí pokutu ve výši 10 milionů australských dolarů. Onavo podle něj příliš zasahovalo do uživatelského soukromí, z čehož Facebook těžil ve svých komerčních aktivitách. Soud potvrdil, že data z Onava provozovatel používal i v analýze trhu mj. za účelem identifikace podniků, které by potenciálně mohl koupit. To se podle soudu s proklamovanou ochranou soukromí neslučuje.
Zuckerberg je pro šmírování
Federální soud v Kalifornii před pár dny zveřejnil nové dokumenty spadající pod případ hromadné žaloby, kterou spotřebitelé a spotřebitelky podali na Metu. Jeden z těchto dokumentů popisuje tajný projekt Ghostbusters, jak upozornil magazín TechCrunch. S výše popsaným případem úzce souvisí.
Facebook projekt zahájil v roce 2016, cílem mělo být zachytit a dešifrovat obsah mezi aplikací Snapchat a servery služby. Tehdejší Facebook chtěl porozumět chování uživatelů. Myslel, že mu tyto informace pomohou v tržním souboji se Snapchatem. (Odsud název operace – Snapchat má v logu dodnes ducha. Ghostbusters jsou lovci či krotitelé duchů.)
Instagram a další platformy dnešní Mety vykradli více funkcí Snapchatu
Projekt Ghostbusters byl součástí programu In-App Action Panel, který měl komunikaci se Snapchatem sbírat a dešifrovat. Později se stejné chování mělo aplikovat na YouTube a Amazon.
Součástí dokumentu jsou úryvky komunikace, jež probíhala uvnitř Facebooku. Mark Zuckerberg si 9. června 2016 stěžoval na to, že Snapchat rychle roste, on ale neví proč. Navrhl, že by ve firmě mohl vzniknout analytický software. Jeden z vývojářů Facebooku přišel s řešením – Onavo.
Měsíc poté vývojový tým vymyslel řešení, jak zachytávat šifrovaný provoz na subdoménách. Přiznaně šlo o techniku man-in-the-middle, kterou obvykle zmiňujeme v souvislosti s hackerskými útoky. Dnes je komunikace webů a aplikací se servery většinou šifrovaná, čili není možné ji přečíst někde po cestě, jako se to dělávalo kdysi.
Nejednotný Facebook
Proto padla volba na Onavo. Šlo o aplikaci, která se na mobily instalovala, což jí dávalo minimálně teoretickou výhodu. Skutečně její tvůrci nakonec našli cestu, jak číst obsah komunikace na mobilu ještě před odesláním. Interní komunikace Facebooku potvrzuje, že projekt Ghostbusters byl úspěšný a Facebook analyzoval používání Snapchatu díky Onavu.
Interně na takovém sběru dat shoda nepanovala. Proti byli mj. Pedro Canahuati, tehdejší vedoucí inženýr bezpečnosti, a Jay Parikh, tehdejší vedoucí inženýr infrastruktury. Canahuati poukázal na to, že široká veřejnost nemůže být důsledně poučena o tomto přístupu, protože technickým aspektům sběru dat dostatečně nerozumí.
Jak jsme už viděli, podobně smýšlí také zmíněný australský soud, který praktiky Onava nepovažuje za férové a Metu kvůli tomu pokutoval.
Z příběhu Onava plyne především jedno poučení. VPN třetí strany nelze slepě věřit a službu nelze automaticky považovat za ochranný prvek, který vám zajistí lepší soukromí. Dvojnásob to platí pro (bezplatné) služby od firem jako Meta, které jsou notoricky známé masivním sběrem uživatelských dat z mnoha zdrojů a které živí prodej reklamy.
Zdroje: ACCC (1, 2) | CNBC | Document 735 / Case 3:20-cv-08570-JD | TechCrunch (1, 2, 3) | WSJ (1, 2)