BI: рекламный партнёр Instagram собирал данные о геолокации и «истории» миллионов пользователей в обход правил сервиса Материал редакции

Компания продавала эти данные для таргетинга рекламы по местонахождению.

В закладки
Аудио

Стартап HYP3R собирал данные о геолокации миллионов пользователей Инстаграма, а также тайно сохранял их «истории» и другие данные в обход правил сервиса. Компания воспользовалась ошибками конфигурации и слабым контролем со стороны соцсети. Об этом сообщило Business Insider со ссылкой на бывших сотрудников стартапа.

Как отметили в издании, пока неясно, сколько пользователей пострадало. Компания публично заявляла, что обладает «уникальным набором данных сотен миллионов самых ценных потребителей в мире». Один из собеседников BI заявил, что HYP3R получила 90% данных из Инстаграма и обрабатывала до миллиона публикаций в месяц.

После обращения журналистов представители Инстаграма направили в HYP3R досудебную претензию. В соцсети признали, что стартап действовал в обход правил и ограничили ему доступ к платформе.

Действия HYP3R не были санкционированы и нарушают наши политики. В результате мы удалили их с нашей платформы. Мы также внесли продуктовые изменения, которые помогут предотвратить сбор данных о геолокации другими компаниями подобным образом.

представители Instagram

В HYP3R заявили журналистам, что не нарушали правил соцсети. Гендиректор компании Карлос Гарсия (Carlos Garcia) считает её действия законными и уверен в скором урегулировании любых проблем с Instagram.

HYP3R был и всегда будет компанией, которая обеспечивает подлинный, восхитительный маркетинг, соответствующий правилам конфиденциальности потребителей и условиям использования соцсетей. Мы не просматриваем какой-либо контент или информацию, недоступные всем.

Карлос Гарсия
гендиректор HYP3R

По данным BI, HYP3R собирал данные только из открытых профилей. У компании не было доступа к любой непубличной информации. При этом стартап собирал данные в обход правил как минимум тремя разными способами.

Как HYP3R собирал данные из Instagram

  • Ошибка безопасности сервиса позволила компании сфокусироваться на конкретных локациях вроде отелей и фитнес-залов. Компания собирала все публичные записи из этих мест;
  • HYP3R систематически сохраняла «истории» пользователей из интересующих компанию мест. В том числе компания собирала личные фотографии из «историй»;
  • Стартап также собрал публичную информацию пользователей, включая информацию о подписчиках и биографию. Эти данные комбинировали с информацией из других источников и геолокацией.

Собранные данные обрабатывали с помощью систем распознавания изображений. Таким образом компания изучала и содержимое фотографий.

Скриншот из промо-ролика HYP3R с интерфейсом системы для клиента Caesars Entertainment

Как HYP3R обошла ограничения Instagram

Журналисты вспомнили, что до ситуации с Cambridge Analytica Instagram позволял собирать данные по геолокации через API, но потом эту возможность убрали. Публично HYP3R приветствовала изменения, но, по словам бывших сотрудников, в компании на самом деле разрабатывали способы обхода ограничений.

Результатом стал инструмент, позволяющий «геозонить» локации и собирать все доступные публикации из конкретного места. По словам источников, компания собрала данные из тысяч локаций, включая отели, казино, круизные корабли, фитнесс-клубы, стадионы и места для шоппинга. При публикации снимка в одном из подобных мест данные автоматически сохранялись в системах HYP3R на неопределённый срок.

Ключевым элементом сбора данных стал общедоступный JSON-пакет, который объединял информацию в удобный для обработки формат. Он остался доступен даже после изменений в официальном API — для этого достаточно добавить в URL-адрес веб-версии несколько символов.

Пример информации, доступной из JSON-пакета: красным цветом выделена геолокация, оранжевым — прямая ссылка на изображение, жёлтым — подпись к публикации, зелёным — уникальный код каждой записи

В случае с «историями» компания разработала собственный способ сбора данных, так как Instagram никогда не подключал их к официальному API. Собеседники BI утверждают, что HYP3R сохраняла изображения вместе с «доступными метаданными».

Как использовали данные

Все данные в совокупности позволили составить цифровой профиль пользователя с привычками и передвижениями. Клиенты могут использовать информацию несколькими способами.

Например, задействовать инструмент «Вовлечение», который позволяет компаниям вроде Marriott увидеть все публикации из её отелей, включая комментарии и лайки, и отвечать на них. В приложениях, построенных на официальном API, это невозможно.

Данные также можно объединить с информацией из других мест и докапитилизаровать профиль клиента. Кроме того, компании могут настраивать рекламу на основе публикаций пользователей в Instagram.

Цифровой профиль пользователя, созданный на основе собранных данных

Кто стоит за HYP3R

Как отметили в BI, HYP3R — не скрытная организация. Компания работает с 2015 года и открыто рассказывала о своих достижениях в области сбора данных, а среди её клиентов были компании вроде Pepsi и Hard Rock.

Стартап считался одним из успешных в Кремниевой долине. Он получил инвестиции в размере 17,3 миллионов долларов в сентябре 2018 года от Silicon Valley Bank и Thayer Ventures. Одним из членов совета директоров HYP3R значится Джим Мессина — бывший помощник Барака Обамы.

В 2018 году Instagram называл HYP3R одним из «предпочтительных партнёров по маркетингу». Компания также завоевала награду на фестивале Каннские львы в 2017 году и получала титул «Самая инновационная компания» от Fast Company в 2018 и 2019 годах.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0444\u0435\u0439\u0441\u0431\u0443\u043a","\u0443\u0442\u0435\u0447\u043a\u0438","\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u0438\u043d\u0441\u0442\u0430\u0433\u0440\u0430\u043c"], "comments": 18, "likes": 33, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 110298, "is_wide": false, "is_ugc": false, "date": "Thu, 08 Aug 2019 04:18:11 +0300", "is_special": false }
0
{ "id": 110298, "author_id": 50011, "diff_limit": 1000, "urls": {"diff":"\/comments\/110298\/get","add":"\/comments\/110298\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/110298"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
18 комментариев
Популярные
По порядку
Написать комментарий...
12

HYP3R просто сделала свой SteamSpy для Инстаграмма. А Инстаграмм негодует, потому что:
1) они недополучили прибыль;
2) они сами не удалили часть API, чем значительно упростили работу стартапу;

Ответить
3

Прикинь, вася уходя на работу дверь забудет запереть, а я вынесу всё из его квартиры.

Вася илиот, но вопрос в том вор ли я?

Ответить
3

Одно дело утащить что-то из личной квартиры Васи, другое дело если Вася сам решил и вытащил свои вещи на улицу на всеобщий доступ.
Если ты публикуешься в публичном сервисе, то передаешь ему свои права на контент.

Ответить
2

Полицейским можно ездить за подозреваемым.
А закинуть ему а кузов трекер - запрещают (без согласования суда).

Сможешь объяснить, почему?

Цифровой мир с его возможностями требует пересмотра некоторых привычных вещей.

Ответить
0

Наоборот, цифровой мир дал нам шанс не строить сложных противоречащих друг другу и зачастую здравому смыслу законов, как в рл. Но естественно, человечество этим шансом не спешит воспользоваться.

Ответить
0

Что про трекер ответишь?

Ответить
0

Думаю, что такой запрет лицемерен и не работает в реальности, поэтому его стоит устранить, зато повесить на самих копов побольше камер и датчиков.

Ответить
0

Надеюсь, ты не работаешь составителем законов.
Не думаю, что есть смысл продолжать беседу на эту тему.

Ответить
0

О нет, реальность снова дала трещину в чьих-то очочках.

Ответить
0

1) верно
2) хуйня

Ответить
9

А может всё-таки не геолокация, а геометка? Которую все ставят как угодно, а как раз на всяких мэрриотах миллионы рекламных публикаций всяких ноготочков и прочих шугарингов.

Ответить
5

Люди же сами выкладывают данные о себе, добровольно, в бесплатный сервис, думая что бывает что-то бесплатное, что фоточки хранятся на пушистом облаке на небе, а разработчики питаются солнцем.

Ответить
9

А может людям поебать? Ну на минуточку так, представьте.

Ответить
3

HYP3R - это не разработчики, это какие-то третьесторонние говноеды, которые скоро ещё и от самих разработчиков отхватят.

Ответить
1

Чёткие пацанчики лохов развели, всё по понятиям?

Ответить
3

Стартап "HYDRA"...

Ответить
0

Тут ещё не публиковали ни разу историю с Walgreens. Как они передавали данные по лекарствам и болезням их покупателей.

Ответить
0

Вроде дело нехитрое, мало ли что публичного API нет, если есть хоть один клиент который может смотреть фото, что мешает сохранять фото? Таких сайтов парсящих и перекладывающих фоточки тысячи для всех соцсетей.

Ответить
Обсуждаемое
Новости
В российских школах начнут изучать психологию. На ней детям расскажут о сексуальном воспитании и вреде наркотиков
Предмет будут изучать с 3 по 11 класс.
Новости
Минпросвещения не поддержало идею Института развития интернета включить компьютерные игры в школьную программу
Добавление новых предметов якобы приведёт к переутомлению учеников.
Новости
Единственный ресторан, подавший в суд на участников акции протеста, закрыл страницу на Фейсбуке после обрушения рейтинга
«Армения» потребовала с Навального, Соболь и Яшина более 550 тысяч рублей из-за закрытия заведения 27 июля. Негативные комментарии снизили рейтинг до двух баллов из пяти.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]