Технологии
Дамир Камалетдинов

BI: рекламный партнёр Instagram собирал данные о геолокации и «истории» миллионов пользователей в обход правил сервиса

Компания продавала эти данные для таргетинга рекламы по местонахождению.

Стартап HYP3R собирал данные о геолокации миллионов пользователей Инстаграма, а также тайно сохранял их «истории» и другие данные в обход правил сервиса. Компания воспользовалась ошибками конфигурации и слабым контролем со стороны соцсети. Об этом сообщило Business Insider со ссылкой на бывших сотрудников стартапа.

Как отметили в издании, пока неясно, сколько пользователей пострадало. Компания публично заявляла, что обладает «уникальным набором данных сотен миллионов самых ценных потребителей в мире». Один из собеседников BI заявил, что HYP3R получила 90% данных из Инстаграма и обрабатывала до миллиона публикаций в месяц.

После обращения журналистов представители Инстаграма направили в HYP3R досудебную претензию. В соцсети признали, что стартап действовал в обход правил и ограничили ему доступ к платформе.

Действия HYP3R не были санкционированы и нарушают наши политики. В результате мы удалили их с нашей платформы. Мы также внесли продуктовые изменения, которые помогут предотвратить сбор данных о геолокации другими компаниями подобным образом.

представители Instagram

В HYP3R заявили журналистам, что не нарушали правил соцсети. Гендиректор компании Карлос Гарсия (Carlos Garcia) считает её действия законными и уверен в скором урегулировании любых проблем с Instagram.

HYP3R был и всегда будет компанией, которая обеспечивает подлинный, восхитительный маркетинг, соответствующий правилам конфиденциальности потребителей и условиям использования соцсетей. Мы не просматриваем какой-либо контент или информацию, недоступные всем.

Карлос Гарсия

По данным BI, HYP3R собирал данные только из открытых профилей. У компании не было доступа к любой непубличной информации. При этом стартап собирал данные в обход правил как минимум тремя разными способами.

Как HYP3R собирал данные из Instagram

  • Ошибка безопасности сервиса позволила компании сфокусироваться на конкретных локациях вроде отелей и фитнес-залов. Компания собирала все публичные записи из этих мест;
  • HYP3R систематически сохраняла «истории» пользователей из интересующих компанию мест. В том числе компания собирала личные фотографии из «историй»;
  • Стартап также собрал публичную информацию пользователей, включая информацию о подписчиках и биографию. Эти данные комбинировали с информацией из других источников и геолокацией.

Собранные данные обрабатывали с помощью систем распознавания изображений. Таким образом компания изучала и содержимое фотографий.

Скриншот из промо-ролика HYP3R с интерфейсом системы для клиента Caesars Entertainment

Как HYP3R обошла ограничения Instagram

Журналисты вспомнили, что до ситуации с Cambridge Analytica Instagram позволял собирать данные по геолокации через API, но потом эту возможность убрали. Публично HYP3R приветствовала изменения, но, по словам бывших сотрудников, в компании на самом деле разрабатывали способы обхода ограничений.

Результатом стал инструмент, позволяющий «геозонить» локации и собирать все доступные публикации из конкретного места. По словам источников, компания собрала данные из тысяч локаций, включая отели, казино, круизные корабли, фитнесс-клубы, стадионы и места для шоппинга. При публикации снимка в одном из подобных мест данные автоматически сохранялись в системах HYP3R на неопределённый срок.

Ключевым элементом сбора данных стал общедоступный JSON-пакет, который объединял информацию в удобный для обработки формат. Он остался доступен даже после изменений в официальном API — для этого достаточно добавить в URL-адрес веб-версии несколько символов.

Пример информации, доступной из JSON-пакета: красным цветом выделена геолокация, оранжевым — прямая ссылка на изображение, жёлтым — подпись к публикации, зелёным — уникальный код каждой записи

В случае с «историями» компания разработала собственный способ сбора данных, так как Instagram никогда не подключал их к официальному API. Собеседники BI утверждают, что HYP3R сохраняла изображения вместе с «доступными метаданными».

Как использовали данные

Все данные в совокупности позволили составить цифровой профиль пользователя с привычками и передвижениями. Клиенты могут использовать информацию несколькими способами.

Например, задействовать инструмент «Вовлечение», который позволяет компаниям вроде Marriott увидеть все публикации из её отелей, включая комментарии и лайки, и отвечать на них. В приложениях, построенных на официальном API, это невозможно.

Данные также можно объединить с информацией из других мест и докапитилизаровать профиль клиента. Кроме того, компании могут настраивать рекламу на основе публикаций пользователей в Instagram.

Цифровой профиль пользователя, созданный на основе собранных данных

Кто стоит за HYP3R

Как отметили в BI, HYP3R — не скрытная организация. Компания работает с 2015 года и открыто рассказывала о своих достижениях в области сбора данных, а среди её клиентов были компании вроде Pepsi и Hard Rock.

Стартап считался одним из успешных в Кремниевой долине. Он получил инвестиции в размере 17,3 миллионов долларов в сентябре 2018 года от Silicon Valley Bank и Thayer Ventures. Одним из членов совета директоров HYP3R значится Джим Мессина — бывший помощник Барака Обамы.

В 2018 году Instagram называл HYP3R одним из «предпочтительных партнёров по маркетингу». Компания также завоевала награду на фестивале Каннские львы в 2017 году и получала титул «Самая инновационная компания» от Fast Company в 2018 и 2019 годах.

#приватность #инстаграм #фейсбук #утечки