עוגיות צד-שלישי ומעקב: למי בכלל איכפת?

פרויקט What They Know של הWall Street Journal הוא פרויקט מקיף, שלראשונה מוציא בעיתונות הפופולרית מידע על המעקב שמבצעים אתרי אינטרנט על גולשיהם, וכיצד שירותים חולקים מידע. הממצאים הרבים בנוגע לTracking Cookies ומעורבות של מיקרוסופט באי-אבטחת הדפדפן על מנת לאפשר למפרסמים לקבל יותר מידע היו מידע שבנחלת הכלל כבר שנים, פשוט לאף אחד לא היה איכפת. ככלל, כמעט כל האתרים הגדולים מאפשרים לשירותים שונים ומשונים לשתול עוגיה בתוך המחשב של המשתמש, שמאפשרת לזהות אותו לא רק באתר שבו נשתלה העוגיה אלא גם באתרים אחרים. אותה Third Party Cookie היא עוגיה שנשתלת על ידי שירות מסוים, שאינו חייב להיות זדוני, ומשייכת את הדפדפן למספר מזהה כלשהוא; לאחר מכן, כל עמוד אליו אותו דפדפן גולש, שמכיל את השירות הזה, מאפשר לעקוב אחריו ולדעת מה הוא עוד עשה.

המחקר של מיכאל בירנהק וניבה אלקין-קורן על פרטיות באתרי אינטרנט ישראלים הראה שלאף אחד לא באמת איכפת מהפרטיות של המשתמשים שלו. אולם את המסקנה הזו רואים בכל יום; כל שירות חדש שמנסה לחדש, לשנות ולקדם את החברה מכיל בעיות פרטיות לא קטנות. כשפייסבוק שחררו לא מזמן את מערכת הLike, הם איפשרו לפייסבוק להיות המרגלת הגדולה ביותר אחרי משתמשיה: היא מספקת לאתרים פלטפורמה לחלוק מידע, ולקדם את עצמם, ומנגד היא מקבלת מידע על האתרים. אבל החדשנות של פייסבוק היא רק דוגמא אחת מני רבות.

מהיכן בא הדחף לשתול את אותן העוגיות? זו שאלת מיליארד הדולר. כאשר אתר כמו Ynet מחזיק שלושה שירותים שונים למדידת החשיפה שלו, ואתר TheMarker חולק את המידע הפרטי של הגולשים שלו עם כלים מפוקפקים כמו Gemius.pl, האם כלל איכפת לו מהגולשים או מהיכולת להפיץ מידע?

רוב שירותי הרשת לא מתעניינים במשתמש הבודד, אלא במידע מצטבר לא מזהה אישית (Aggregated, non-personally identifiable information). הרעיון הוא שסטטיסטית, המידע מעניין יותר כאשר הוא נותן פילוח גדול: גולשים שגלשו לThemarker גלשו גם אחר כך לאתר X, ולכן, אם יש זהות בין השניים, אפשר לפרסם גם באתר X פרסומות שהיינו מעתדים ללקוחות TheMarker בעלות נמוכה יותר. ככל שניתן לבנות פרופילים וחיתוכים טובים יותר, אפשר גם לתת מידע יותר טוב למפרסמים, ולקבל שווי יותר גבוה לכל פרסומת.

הצורך כאן לא נובע מרוע, אבל הוא גורם לתחושת אי-נוחות ותחושה של מעקב. יש לו גם השלכות רעות אחרות. אחת הבעיות ברשתות הפרסום הגדולות היא שהן מוכרות iFrame, כלומר ריבוע קטן בתוך אתרים אחרים (נניח, בתוך TheMarker, אבל לא בהכרח) למפרסמי משנה. אותם מפרסמי משנה בוחנים האם לגולש יש Cookie שלהם, ויכולים לבחור האם להציג את הפרסומת (ולשלם לרשת הפרסום) או לא. מפרסמי המשנה בדרך כלל אדישים לגבי האתר המציג, ולכן יכול (ואף סביר) שיתרחש התרחיש הבא: אדם א' ואדם ב' חולקים את אותו מחשב, ואותו משתמש על המחשב. בשעות הערב, כאשר אדם ב' ישן, אדם א' גולש לאתרי מבוגרים, נניח PornHub, אותו אתר מכיל, בין היתר, את התשריט של Google Analytics. אותו תשריט מתעד שדפדפן ג' (הדפדפן של אדם א' ואדם ב') ביקר לאורך 15 דקות באתר פורנוגרפי, ולכן הוא משייך אותו לפרופיל של אתר פורנוגרפי. לאחר מכן, בבוקר גולש אדם ב' לאתר טיפו אשר גם מכיל את אותו התשריט. השירות של גוגל משייך ולומד, שאם הרבה א' וב' עושים את אותו הדבר, הרי שיש דמיון בין התעבורה באתר טיפו לאתר Pornhub. בעקבות אותה מסקנה, כאשר יעשו שימוש בשירותי הפרסום של Google באחד האתרים האלה, הוא יציג גם תכנים הרלוונטיים לאתר השני.

כמובן, שבמקרה הזה אנחנו מדברים על דיון תיאורטי לחלוטין ועל נזק תיאורטי, אבל עצם הפילוח של הפרסומות לכאלה שאינם מעוניינים במעקב אחריהם. השירותים גם לא מבדילים בין מי שהוא קטין למי שאינו, ועשויים להחזיק מידע רגיש מאוד לגבי הרגלים של קטינים (גם אם בצורה לא מזהה), מה שמחזק את המסקנה שלאתרי הילדים לא איכפת מפרטיות הגולשים שלהם אם הם משתמשים בשירותים שחולקים מידע.

כלומר, הבעיה שחשף הWall Street Journal היתה ידועה לכולם כבר הרבה זמן. מי שידע עליה והיה לו איכפת, פשוט חסם בצורה טכנולוגית את השירותים האלה. מי שלא, כנראה שלא איכפת לו גם שמצלמים אותו ברחוב, שמקליטים אותו ושעוקבים אחריו. כעת, השאלה היא, מדוע לאף אחד לא איכפת?

הפוסט פורסם במקור בבלוג Intellect or Insanity, ומובא תחת רישיון CC by sa - קריאייטיב קומונס על פי ייחוס-שיתוף זהה.