Почтовая служба США передавала адреса клиентов компаниям Meta*, LinkedIn и Snapchat

Почтовая служба США делилась адресами своих клиентов с рекламными и технологическими гигантами Meta* (запрещена на территории РФ), LinkedIn и Snapchat. USPS делилась информацией о клиентах с помощью скрытого кода для сбора данных, используемого на ее сайте. Технологические и рекламные компании создают такой код для сбора информации о пользователе, например, о том, какие страницы он посещает, каждый раз, когда веб-страница, содержащая код, загружается в браузере клиента. На днях USPS заявила, что обратила внимание на проблему и прекратила эту практику, утверждая, что «не знала» о ней.

В случае с USPS часть пользовательских данных включала почтовые адреса клиентов USPS Informed Delivery, которые используют этот сервис для просмотра фотографий входящей почты до ее получения. Неясно, сколько человек в этом участвовало и как долго собиралась информация. По состоянию на март 2024 года у сервиса Informed Delivery было более 62 млн пользователей.

«Почтовая служба использует аналитическую платформу для внутренних целей, чтобы понять, как используются наши продукты и услуги. Она применяется на агрегированной основе для маркетинга наших продуктов, — заявил представитель USPS Джим Маккин. — Почтовая служба не продает и не предоставляет персональную информацию, собранную с помощью этой аналитической платформы, третьим лицам, и мы не знали о существовании конфигурации, которая собирала бы персональную информацию с URL-адреса и без нашего ведома делилась бы ею с социальными сетями.»

Представитель Facebook* Эмиль Васкес, к которому обратились за комментариями, заявил следующее: «В наших правилах мы четко прописали, что рекламодатели не должны отправлять конфиденциальную информацию о пользователях через наши инструменты для бизнеса. Это противоречит нашей политике. Наша система разработана таким образом, чтобы отфильтровывать потенциально конфиденциальные данные, которые она способна обнаружить».

Представитель LinkedIn Брионна Рафф заявила примерно то же самое, отметив, что «рекламные инструменты и соглашения клиентов четко запрещают им передавать нам конфиденциальные данные».

В ходе тестирования TechCrunch обнаружил, что сайт USPS делится почтовым адресом вошедшего в систему клиента с Meta*, LinkedIn и Snap. Тесты также показали, что код для сбора данных на сайте почтовой службы считывал адрес клиента со страницы Informed Delivery после того, как тот входил в систему, и затем отправлял его компаниям.

Кроме того, собирались и другие данные, такие как информация о типе компьютера и браузере пользователя, которые выглядели как частично псевдонимизированные, по сути, зашифрованные таким образом, чтобы было сложнее понять, откуда данные взялись или к кому они относятся. Это осуществлялось за счет использования произвольных идентификаторов вместо реальных имен клиентов. Однако исследователи уже давно предупреждают, что анонимные данные все равно могут быть использованы для повторной идентификации пользователей.

Номера отслеживания, введенные на сайте USPS, также передавались рекламодателям и технологическим компаниям, включая Bing, Google, LinkedIn, Pinterest и Snap. Некоторые данные отслеживания в пути также передавались, например, реальное местоположение почтового отправления в почтовой системе, даже если клиент не заходил на сайт USPS. Представитель USPS отказался сообщить, будет ли почтовая служба просить технологические компании удалить собранные ими данные.

USPS — не единственная компания, использующая веб-трекинг. В 2023 году стартап Cerebral, специализирующийся на телемедицине, и приложения Tempest и Monument, занимающиеся лечением алкоголизма, сообщили, что они делились частной медицинской информацией, включая оценки, предоставленные их пользователями, с технологическими и рекламными компаниями, и с тех пор отказались от этой практики.

В том же году Федеральная торговая комиссия США возбудила дело против гиганта медицинских данных GoodRx, который согласился заплатить $1,5 млн за передачу данных о здоровье клиентов рекламодателям, и компании, предоставлющей услугу онлайн-терапии BetterHelp, которой было предписано выплатить пациентам компенсацию в размере $7,8 млн за передачу их частных ответов на медицинские анкеты.

Ранее хакер разместил на известном хакерском форуме данные клиентов, предположительно украденные у австралийской компании TEG, занимающейся организацией мероприятий и продажей билетов. Хакер выставил на продажу якобы украденные у TEG данные, заявив, что располагает информацией о 30 млн пользователей, включая полное имя, пол, дату рождения, хэшированные пароли и адреса электронной почты.