זהו סיפור עם מוסר השכל על מידע אנונימי שאינו אנונימי, נתוני מיקום בטלפון החכם שלכם, וכמרים שמשתמשים באפליקציות היכרות וברים של הקהילה הגאה
מי שמביט לי במידע, לא יודע מי אני
כשחושבים על המידע שחברות באינטרנט אוספות עלינו, ההנחה הרווחת (והדי לא-מדויקת) בנוגע למידע הזה הוא שמעבירים אותו תהליך של "אנונימיזציה", שבו מסירים מהמידע כל מזהה אישי (כגון שם, מספר ת"ז, טלפון, מייל וכו'), ומשאירים רק מזהה מספרי שלא ניתן לחבר לאדם ממנו הגיע המידע, וכמובן את המידע עצמו.
המידע האישי שלי אינו רלוונטי למפרסמים וחברות, כיוון שחברה לא צריכה לדעת את השם שלי כדי למכור לי משהו, אלא רק את הפרופיל שלי: מצב משפחתי, מקום מגורים, מגדר, תחום עובדה, והאם אני מחבב כלבים/מאפים/שנ"צ (במקרה שלי התשובה היא "כן" להכל). על בסיס הפרופיל האישי שלי החברה יכולה להתאים לי פרסומות מדויקות, להתאים לי מוצרים ולהרוויח ממני כסף גם בלי לדעת את השם שלי או את המסת"ז שלי. לכן, החברה יכולה שלא לשמור את המידע האישי שלי, וזה לא ישפיע על הרווחים שלה.
הבעיה מתחילה כשאנחנו נזכרים שיש כמות מוגבלת של אנשים בעולם, כך שבהינתן מספיק פרטים על אדם ספציפי, אפשר לפסול אנשים אחרים שאינם מתאימים לפרופיל ולצמצם את החיפוש שלנו עד לרמה שבה ניתן לאתר בדיוק (או לפחות ברמת ודאות גבוהה) את האדם הספציפי שזה המידע שלו, גם ללא שום מזהים אישיים, ורק על בסיס המידע ה"אנונימי" שזמין למפרסמים.
נניח שהמידע שקיבלנו כולל את המגדר של האדם, מיד צמצמנו את טווח התוצאות שלנו בכ-50%. אם יש לנו מידע על קבוצת הגיל שלו, זה כבר יכול לצמצם את הטווח בכמעט 80%, ושילוב של מגדר וקובצת גיל יחד כבר מביא אותנו ל90%. בצורה כזו צמצמנו כמעט 8 מליארד בני אדם על פני כדור-הארץ לקצת פחות מ-800 מיליון, שזה הספק לא רע בשביל שתי פיסות מידע מאוד רחבות.
תחלק לי לשתיים
בתחום של ניהול מידע קיים מושג מקצועי לתהליך הצמצום הזה, שנקרא "ביט". ביט מתאר חיתוך של טווח תוצאות קיים לשניים, מה שמשאיר לנו 50% מהטווח הקודם. אם קיימים לנו 2 ביטים, זה כבר ישאיר 25% מטווח התוצאות המקורי, וכו'. לכל פיסת מידע שמאפשרת לנו לצמצם את טווח התוצאות יש ערך של כמה ביטים היא שווה: מגדר שווה ביט אחד, אבל טווח גילאים יכול להיות שווה בין 2 ל-7 ביטים, בתלות ברמת הדיוק שלו. לנתונים נוספים, כגון חבישת משקפיים, אחזקת רישיון נהיגה או מגורים במדינה מסוימת, יש ערך ביט משתנה, אבל לכולם יש ערך שיכול לצמצם את טווח התוצאות המקורי שאיתו התחלנו.
אמנם יש כ-8 מיליארד אנשים בעולם וזה אכן נשמע הרבה, אבל חשבון קצר מראה שזה קצת פחות מ-233. מכיוון שכל ביט אמור לחתוך את טווח התוצאות בחצי, זה אומר שתיאורטית, בהינתן מידע בשווי 34 ביטים או יותר, אני יכול לחבר בין המידע האנונימי של אדם ספציפי לאדם אמיתי עם שם וכתובת, ולדעת בדיוק למי המידע הזה שייך.
כמובן שבמציאות זה טיפה שונה, כי הביטים לא תמיד מחלקים את המידע שלנו באופן "מושלם", ויש חפיפות של ביטים. גם פיסת מידע מאוד ממוקדת על אדם, כגון "בעלים של תיק יד לואי ויטון", יכולה להיות שווה הרבה ביטים, אבל היא כבר כוללת בתוכה חפיפה גבוהה מאוד למידע אחר, כגון מגדר, רמת הכנסה, או אפילו אזור מגורים. בנוסף, אין בנמצא (לפחות כרגע) מאגר נתונים פומבי של "בעלי לואי ויטון" עם שמות וכתובות, אז המידע הזה לא כ"כ יעזור לנו לצמצם את טווח התוצאות שלנו.
בשורה התחתונה, בהינתן מספיק מידע אנונימי שאנחנו יכולים להשוות למידע פומבי יחסית שחשוף כבר היום על אנשים, כגון גיל, מגדר, מקום מגורים, מקום עבודה, מאפיינים חיצוניים וכו', אנחנו יכולים לעשות דה-אנונימיזציה למידע אנונימי, ולחבר אותו לאדם עם שם ופרטים ידועים.
לוקיישן, לוקיישן, לוקיישן
התהליך הזה, שמאפשר את הסרת מעטה האנונימיות כאשר קיים מספיק מידע, הוא הסיבה שנתוני מיקום הם אחד מסוגי המידע הכי מסוכנים לפרטיות: כל דיווח מיקום הוא דבר מדויק מאוד ושווה המון ביטים. נתוני מיקום הם גם רבים מאוד, והם ומצטברים מהר. אפילו מיקום אחד בשעות הלילה בנקודה מסוימת ומיקום נוסף בשעות היום בנקודה אחרת, יכולים להספיק לאיתור אדם ספציפי ברמת ודאות נמוכה. אם הנתונים חוזרים על עצמם אפילו מספר קטן של פעמים, כבר אפשר לדעת בוודאות גבוהה במי מדובר, בהתבסס על נתונים פומביים של מקום המגורים והעבודה או הלימודים של האדם.
כך קרה שנתוני המיקום של הטלפון החכם של ג'פרי בוריל (Jeffrey Burrill), כומר קתולי בכיר מאוד בכנסייה האמריקאית, הובילו להתפטרותו לאחר חשיפתו כהומוסקסואל על ידי גוף תקשורת בשם "הפילר", המסקר את הכנסייה הקתולית. הפילר רכש באופן חוקי לחלוטין מאגר מידע עצום מספק תקשורת סלולרית. המאגר כלל שנתיים של נתוני מיקום של מיליוני מכשירים, וכן נתוני שימוש של אפליקציות שונות בחיבור האינטרנט של המכשירים.
העיתונאים של הפילר הצליחו לאתר במאגר המידע העצום את מכשיר הטלפון של בוריל, בהתבסס על נתוני מיקום מביתו, הכנסייה בה עבד, אירועים בהם השתתף ובית הקיץ שלו. הנתונים גם חשפו כי הוא משתמש באפליקציית ההיכרויות גריינדר, הנפוצה בקרב חברי הקהילה הגאה, וכן ששהה בברים של הקהילה הגאה בעת שביקר בערים אחרות, לעיתים במסגרת עבודתו בכנסייה.
עיתונאי הפילר חשפו את המידע בפני הכנסייה, מה שאילץ את בוריל להתפטר, העלה את הסיפור לכותרות ועורר שוב את הדיון על החוקיות של הפרקטיקה של מכירת מידע אנונימי ע"י ספקי תקשורת, תוך הבנה שבדיעבד המידע יכול לעבור די-אנונימיזציה ולפגוע בפרטיות של המשתמשים.
אגב, ייתכן שהפילאר יפילו עוד בכירים בהמשך. השבוע הם פרסמו ניתוח נוסף של מידע סלולרי מאזור הוותיקן, ודיווחו שבתקופה של 26 שבועות ב-2018, לפחות 32 מכשירים סלולריים עשו שימוש באפליקציות דייטינג וסטוצים ממקומות מאובטחים ובניינים במתחם הוותיקן, אשר אינם פתוחים לתיירים ולעולים לרגל.
אני יודע מה עשית בקיץ האחרון
כבר היום יש להניח שגורמים פליליים רוכשים חבילות של מידע אנונימי ומחפשים בו סימנים לבגידות, נטיות מיניות מוסתרות, שחיתויות, וכל דבר אחר שאנשים מעדיפים שישמר בסוד ולא יהפוך לנחלת הכלל, ומשתמשים בו לאיים על אנשים שיחשפו אותם אם לא יתנו כסף או דברים אחרים (תחשבו על פוליטיקאי שנסחט להצביע באופן מסויים בהצבעה גורלית).
גופי מודיעין ממשלתיים וארגוני טרור רואים ערך גדול במידע כזה. חמאס או חיזבאללה, למשל, יכולים לרכוש מאגרי מידע אנונימיים גדולים, ולהתחיל לעקוב אחרי מסלולים של מכשירים עם היסטוריית מיקומים בכנסת, משרדי ממשלה או בסיסים צבאיים, ולהכין "בנק מטרות" של מקומות מגורים של בכירים ישראלים, מקומות הלימוד של ילדי הבכירים, מסלולי נסיעה קבועים, ועוד מידע שיכול לשמש לפגיעה בביטחון המדינה.
גם גופי אכיפה בכל העולם כיום עושים שימוש במידע שכזה, אפילו לצורך המאבק בנגיף הקורונה, כמו שראינו בישראל עם אפליקציית המגן והאיכונים של שב"כ. כבר היום מידע כזה יכול לשמש כדי לפתור פשעים או למנוע אירועים פליליים, אך גם כדי לרדוף עיתונאים, אקטיביסטים וחברי אופוזיציה. גם עיתונאים יכולים לעשות שימוש במידע כזה ע"מ לחשוף שחיתויות או לחסל דמויות ציבוריות, ורשימת הגופים שיכולים להשתמש במידע כזה, והשימושים הפוטנציאליים בו, עוד ארוכה.
איך מנצחים מגיפה
המצב הוא אכן בעייתי, כיוון שספקי התקשורת שלנו יודעים בדיוק היכן אנחנו נמצאים בכל רגע נתון – ככה הרשת הסלולרית עובדת: הטלפון הסלולרי שלנו משדר, התא הסלולרי הקרוב ביותר קולט, וכך מועברים שיחות, סמסים וגלישה. עד שתעבור חקיקה האוסרת באופן מוחלט מכירה של נתוני מיקום, המידע שלנו עלול להישאר חשוף. אבל לפני שאתם שוברים את הטלפון ועוברים לחיות במערה ולהכין בורקסים על מדורה, יש מספר פעולות שניתן לבצע.
בשלב ראשון, נמנעים ככל הניתן מלאפשר גישה למיקום לאפליקציות שמוכרת את המידע לצד ג' (שזה כמעט כולן). בנוסף, לא נותנים גישה לנתוני מיקום לאפליקציות בזמן שהן רצות ברקע אלא רק בזמן שהן פועלות על המסך של המכשיר. באופן כללי מומלץ לתת אישור גישה לנתוני מיקום רק לאפליקציות שחייבות את זה כדי לתפקד. באפליקציות של משלוחים וכו', עדיף להקליד בכל פעם את המיקום שלכם, ולא לתת לאפליקציה גישה אל נתוני המיקום.
בנוסף, מומלץ להשתמש בהגנות ובהצפנות לתעבורת המידע בין המכשיר שלכם והאינטרנט, באמצעות VPN [פרסומת: אנחנו ממליצים על פרוטון VPN], או לפחות אפליקציות הצפנת DNS כגון Intra. ככל שכמות המידע שניתן לאסוף על השימוש שלכם קטנה יותר, הסיכוי לפגיעה בפרטיות שלכם יורד.
לבסוף, נסו לעודד כמה שיותר אנשים אחרים לנהוג כמותכם ולהגן על המידע שלהם. אפילו אם אתם מנהלים חיים שאתם גאים בהם, ואין לכם סודות אפלים שאתם מסתירים, תמיד יהיו אנשים שלא נהנים מהפריווילגיה הזו ונאלצים להסתיר דברים מסוימים בנוגע לעצמם כדי להימנע מפגיעות שונות. אם כולנו ביחד קטין את כמות המידע שחברות מקבלות מאיתנו, מאגרי המידע האלה יהפכו פחות ופחות יעילים, וכך נייצר "חסינות עדר" ונוכל להגן גם על המעטים שזקוקים לפרטיות שלהם.
יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD. הוא כתב בגליון ספטמבר 2020 על שובן של הצרות של חלונות XP 🖼️ תמונת שער: איפה ישו? // Campos Felipe + עידוק