BI: рекламный партнёр Instagram собирал данные о геолокации и «истории» миллионов пользователей в обход правил сервиса
Компания продавала эти данные для таргетинга рекламы по местонахождению.
Стартап HYP3R собирал данные о геолокации миллионов пользователей Инстаграма, а также тайно сохранял их «истории» и другие данные в обход правил сервиса. Компания воспользовалась ошибками конфигурации и слабым контролем со стороны соцсети. Об этом сообщило Business Insider со ссылкой на бывших сотрудников стартапа.
Как отметили в издании, пока неясно, сколько пользователей пострадало. Компания публично заявляла, что обладает «уникальным набором данных сотен миллионов самых ценных потребителей в мире». Один из собеседников BI заявил, что HYP3R получила 90% данных из Инстаграма и обрабатывала до миллиона публикаций в месяц.
После обращения журналистов представители Инстаграма направили в HYP3R досудебную претензию. В соцсети признали, что стартап действовал в обход правил и ограничили ему доступ к платформе.
Действия HYP3R не были санкционированы и нарушают наши политики. В результате мы удалили их с нашей платформы. Мы также внесли продуктовые изменения, которые помогут предотвратить сбор данных о геолокации другими компаниями подобным образом.
В HYP3R заявили журналистам, что не нарушали правил соцсети. Гендиректор компании Карлос Гарсия (Carlos Garcia) считает её действия законными и уверен в скором урегулировании любых проблем с Instagram.
HYP3R был и всегда будет компанией, которая обеспечивает подлинный, восхитительный маркетинг, соответствующий правилам конфиденциальности потребителей и условиям использования соцсетей. Мы не просматриваем какой-либо контент или информацию, недоступные всем.
По данным BI, HYP3R собирал данные только из открытых профилей. У компании не было доступа к любой непубличной информации. При этом стартап собирал данные в обход правил как минимум тремя разными способами.
Как HYP3R собирал данные из Instagram
- Ошибка безопасности сервиса позволила компании сфокусироваться на конкретных локациях вроде отелей и фитнес-залов. Компания собирала все публичные записи из этих мест;
- HYP3R систематически сохраняла «истории» пользователей из интересующих компанию мест. В том числе компания собирала личные фотографии из «историй»;
- Стартап также собрал публичную информацию пользователей, включая информацию о подписчиках и биографию. Эти данные комбинировали с информацией из других источников и геолокацией.
Собранные данные обрабатывали с помощью систем распознавания изображений. Таким образом компания изучала и содержимое фотографий.
Скриншот из промо-ролика HYP3R с интерфейсом системы для клиента Caesars Entertainment
Как HYP3R обошла ограничения Instagram
Журналисты вспомнили, что до ситуации с Cambridge Analytica Instagram позволял собирать данные по геолокации через API, но потом эту возможность убрали. Публично HYP3R приветствовала изменения, но, по словам бывших сотрудников, в компании на самом деле разрабатывали способы обхода ограничений.
Результатом стал инструмент, позволяющий «геозонить» локации и собирать все доступные публикации из конкретного места. По словам источников, компания собрала данные из тысяч локаций, включая отели, казино, круизные корабли, фитнесс-клубы, стадионы и места для шоппинга. При публикации снимка в одном из подобных мест данные автоматически сохранялись в системах HYP3R на неопределённый срок.
Ключевым элементом сбора данных стал общедоступный JSON-пакет, который объединял информацию в удобный для обработки формат. Он остался доступен даже после изменений в официальном API — для этого достаточно добавить в URL-адрес веб-версии несколько символов.
Пример информации, доступной из JSON-пакета: красным цветом выделена геолокация, оранжевым — прямая ссылка на изображение, жёлтым — подпись к публикации, зелёным — уникальный код каждой записи
В случае с «историями» компания разработала собственный способ сбора данных, так как Instagram никогда не подключал их к официальному API. Собеседники BI утверждают, что HYP3R сохраняла изображения вместе с «доступными метаданными».
Как использовали данные
Все данные в совокупности позволили составить цифровой профиль пользователя с привычками и передвижениями. Клиенты могут использовать информацию несколькими способами.
Например, задействовать инструмент «Вовлечение», который позволяет компаниям вроде Marriott увидеть все публикации из её отелей, включая комментарии и лайки, и отвечать на них. В приложениях, построенных на официальном API, это невозможно.
Данные также можно объединить с информацией из других мест и докапитилизаровать профиль клиента. Кроме того, компании могут настраивать рекламу на основе публикаций пользователей в Instagram.
Цифровой профиль пользователя, созданный на основе собранных данных
Кто стоит за HYP3R
Как отметили в BI, HYP3R — не скрытная организация. Компания работает с 2015 года и открыто рассказывала о своих достижениях в области сбора данных, а среди её клиентов были компании вроде Pepsi и Hard Rock.
Стартап считался одним из успешных в Кремниевой долине. Он получил инвестиции в размере 17,3 миллионов долларов в сентябре 2018 года от Silicon Valley Bank и Thayer Ventures. Одним из членов совета директоров HYP3R значится Джим Мессина — бывший помощник Барака Обамы.
В 2018 году Instagram называл HYP3R одним из «предпочтительных партнёров по маркетингу». Компания также завоевала награду на фестивале Каннские львы в 2017 году и получала титул «Самая инновационная компания» от Fast Company в 2018 и 2019 годах.
#приватность #инстаграм #фейсбук #утечки