Los documentos sin sellar en el traje de privacidad de Facebook ofrecen un vistazo de la auditoría de la aplicación que falta • Tecno

No es el crimen, es el encubrimiento… La compañía golpeada por el escándalo antes conocida como Facebook ha luchado durante más de cuatro años para mantener un control sobre los detalles sangrientos de una auditoría de aplicaciones de terceros que su fundador y director ejecutivo, Mark Zuckerberg, prometió personalmente que se llevaría a cabo, en 2018, mientras buscaba ganar tiempo para purgar la creciente mancha reputacional después de que se revelaran revelaciones sobre el uso indebido de datos. viral en el pico de la crisis de privacidad de Cambridge Analytica.

Sin embargo, están surgiendo algunos detalles, extraídos como la sangre de una piedra a través de un proceso tortuoso de varios años de descubrimiento legal desencadenado por litigios.

Un par de documentos presentados por los demandantes en un litigio de perfil de usuario de privacidad en California, que se dieron a conocer ayer, ofrecen detalles sobre un puñado de aplicaciones auditadas por Facebook e informes internos sobre lo que encontró.

Las revelaciones dan una idea de la zona libre de privacidad que presidía Facebook cuando una empresa de datos «incompleta» se ayudó a sí misma con los datos de millones de usuarios, la gran mayoría de los cuales no sabía que su información había sido recopilada para experimentos de selección de votantes.

Dos empresas conocidas identificadas en los documentos que tienen aplicaciones auditadas por Facebook como parte de su barrido de terceros, a lo que se hace referencia en los documentos como ADI, también conocido como «Investigación de desarrolladores de aplicaciones», son Zynga (un fabricante de juegos); y Yahoo (una empresa de medios y tecnología que también es la entidad matriz de Tecno).

Ambas empresas produjeron aplicaciones para la plataforma de Facebook que, según los documentos presentados, parecían tener amplio acceso a los datos de los amigos de los usuarios, lo que sugiere que habrían podido adquirir datos de muchos más usuarios de Facebook que los que descargaron las aplicaciones ellos mismos, incluidos algunos potencialmente confidenciales. información.

El raspado de datos de amigos de Facebook, a través de una ruta de acceso a datos de «permisos de amigos» que proporcionó la plataforma de desarrollo de Facebook, también fue, por supuesto, la ruta a través de la cual la empresa de datos en desgracia Cambridge Analytica adquirió información sobre decenas de millones de usuarios de Facebook sin que la gran mayoría lo supiera o consintiera. frente a los cientos de miles que descargaron la aplicación de prueba de personalidad que se utilizó como ruta de entrada a la granja de personas de Facebook.

“Un documento de ADI revela que las 500 aplicaciones principales desarrolladas por Zynga, que había desarrollado al menos 44 000 aplicaciones en Facebook, podrían haber accedido a las ‘fotos, videos, sobre mí, actividades, historial educativo, eventos, grupos, intereses, Me gusta, notas , detalles de relaciones, religión/política, estado, historial laboral y todo el contenido de grupos administrados por usuarios para los amigos de 200 millones de usuarios”, escriben los demandantes. «Un memorándum de ADI separado revela que ‘Zynga comparte la identificación de la red social y otra información personal con terceros, incluidos los anunciantes'».

“Un memorando de ADI sobre Yahoo, que impactó a 123 millones de usuarios y señaló específicamente su estado en la lista blanca, reveló que Yahoo estaba adquiriendo información ‘considerada[ed] sensible debido al potencial para proporcionar información sobre las preferencias y el comportamiento”, escriben en otra presentación. “También era ‘posible que el [Yahoo] La aplicación accedió a datos más confidenciales de usuarios o amigos de los que se pueden detectar’”.

Otros ejemplos citados en los documentos incluyen una serie de aplicaciones creadas por el desarrollador llamado AppBank, que creó aplicaciones de cuestionarios, aplicaciones de obsequios virtuales y aplicaciones de juegos sociales, y que la auditoría de Facebook descubrió que tenía acceso a permisos (incluidos los permisos de amigos) que dijo “probablemente” quede fuera del caso de uso de la aplicación y/o no haya “ningún caso de uso aparente” para que la aplicación tenga dichos permisos.

Se informó que otra aplicación llamada Sync.Me, que funcionó desde antes de 2010 hasta al menos 2018, tuvo acceso a las ubicaciones, fotos, sitios web e historiales de trabajo de los amigos de más de 9 millones de usuarios; y la información read_stream de más de 8 millones de usuarios (lo que significa que podrían acceder a todo el suministro de noticias de los usuarios independientemente de la configuración de privacidad aplicada a las diferentes entradas del suministro de noticias) según la auditoría; también se informó que dichos permisos están fuera del alcance para el caso de uso de la aplicación. .

Si bien se informó que una aplicación llamada Social Video Downloader, que estuvo en la plataforma de Facebook desde alrededor de 2011 hasta al menos 2018, podía acceder a los «me gusta, fotos, videos e información de perfil» de más de 8 millones de usuarios: recopilación de datos que La investigación interna de Facebook sugirió que «puede hablar de un motivo oculto por parte del desarrollador». La compañía también concluyó que la aplicación probablemente «cometió graves violaciones de la privacidad», observando además que «la población potencialmente afectada y la cantidad de datos confidenciales en riesgo son muy altos».

También se descubrió que las aplicaciones creadas por un desarrollador llamado Microstrategy habían recopilado «grandes cantidades de permisos de usuarios y amigos altamente confidenciales».

Mientras los demandantes argumentan que se impongan sanciones a Facebook, intentan calcular un máximo teórico para la cantidad de personas cuyos datos podrían haber sido expuestos por solo cuatro de las aplicaciones antes mencionadas a través de la ruta de permiso de amigos, utilizando 322 amigos por usuario como un medir para su ejercicio y terminar con una cifra de 74 mil millones de personas (es decir, muchos múltiplos más que la población humana de todo el planeta), un ejercicio que dicen tiene la intención de «simplemente mostrar que ese número es enorme».

“Y debido a que es enorme, es muy probable que la información de la mayoría de las personas que usaron Facebook al mismo tiempo que estas pocas aplicaciones se expusiera sin un caso de uso”, continúan argumentando, y señalan además que la ADI “llegó a conclusiones similares sobre cientos de otras aplicaciones y desarrolladores”.

Deja que eso se hunda.

(Los demandantes también señalan que todavía no pueden estar seguros de si Facebook ha proporcionado toda la información que solicitaron con respecto a la auditoría de la aplicación; en su presentación, atacan las declaraciones de la compañía al respecto como «consistentemente probadas como falsas» y señalan además » no está claro si Facebook ya ha cumplido con las órdenes». Por lo tanto, todavía no parece haber surgido una imagen completa).

¿Auditoría de aplicaciones? ¿Qué aplicación de auditoría?

El gigante tecnológico nunca ha hecho públicos los hallazgos completos de la auditoría interna de la aplicación de Facebook, que reinició su identidad corporativa como Meta el año pasado en un intento por superar años de toxicidad de marca acumulada.

En los primeros días de su respuesta de relaciones públicas de crisis a los horrores de datos que se desarrollaban, Facebook afirmó haber suspendido alrededor de 200 aplicaciones en espera de más investigaciones. Pero después de esa primera noticia, las actualizaciones voluntarias sobre el compromiso de Zuckerberg de marzo de 2018 de auditar «todas» las aplicaciones de terceros con acceso a «grandes cantidades de información de usuario» antes de un cambio en los permisos en su plataforma en 2014, y un compromiso paralelo de » realice una auditoría completa de cualquier aplicación con actividad sospechosa: se secó.

Las comunicaciones de Facebook simplemente se apagaron durante la auditoría, ignorando las preguntas de los periodistas sobre cómo iba el proceso y cuándo se publicarían los resultados.

Si bien hubo un alto nivel de interés por parte de los legisladores cuando estalló el escándalo, Zuckerberg solo tuvo que responder preguntas relativamente básicas, apoyándose en gran medida en su promesa de una auditoría exhaustiva y diciendo en una audiencia de abril de 2018 del Comité de Comercio y Energía de la Cámara de Representantes que la compañía estaba auditando » decenas de miles” de aplicaciones, por ejemplo, lo que hizo que la auditoría pareciera un gran problema.

El anuncio de la auditoría de la aplicación ayudó a Facebook a eludir la discusión y un escrutinio más detallado sobre qué tipo de flujos de datos estaba analizando y por qué había permitido que todo este acceso confidencial a la información de las personas se produjera bajo sus narices durante años, al mismo tiempo que informaba a los usuarios sobre su privacidad. estaba a salvo en su plataforma, ‘bloqueado’ por un reclamo de política que establecía (erróneamente) que no se podía acceder a sus datos sin su permiso.

El gigante tecnológico incluso aseguró el silencio del organismo de control de protección de datos del Reino Unido, que, a través de su investigación de la base de Cambridge Analytica en el Reino Unido, golpeó a Facebook con una sanción de 500.000 libras esterlinas en octubre de 2018 por violar las leyes locales de protección de datos, pero después de apelar la sanción y, como parte de un acuerdo de 2019 en el que acordó pagar pero no admitió responsabilidad, Facebook logró que la Oficina de la Comisión de Información firmara una orden de mordaza que el comisionado en ejercicio les dijo a los parlamentarios, en 2021, impidió que respondiera a las preguntas sobre la auditoría de la aplicación en una audiencia pública del comité.

Así que Facebook ha logrado mantener cerrado el escrutinio democrático de la auditoría de su aplicación.

También en 2019, el gigante tecnológico pagó a la FTC $5 mil millones para comprar su equipo de liderazgo a lo que un comisionado disidente se refirió como «inmunidad general» por su papel en Cambridge Analytics.

Si bien, solo el mes pasado, se movió para resolver el litigio de privacidad de California que ha descubierto estas revelaciones de ADI (no está claro cuánto está pagando por resolver).

Después de años de que la demanda se empantanara por la «retraso» de Facebook sobre el descubrimiento, como dicen los demandantes, Zuckerberg y la ex directora de operaciones Sheryl Sandberg finalmente debían dar 11 horas de testimonio este mes, luego de una declaración. Pero luego intervino el acuerdo.

Por lo tanto, la determinación de Facebook de proteger a los altos ejecutivos de las preguntas de sondeo vinculadas a Cambridge Analytica permanece intacta.

La actualización de la sala de redacción de mayo de 2018 del gigante tecnológico sobre la auditoría de la aplicación, que parece contener el único informe oficial de «progreso» en más de cuatro años, tiene solo una «noticia relacionada» en un widget en la parte inferior de la publicación. Esto se vincula a un informe no relacionado en el que Meta intenta justificar el cierre de investigaciones independientes sobre anuncios políticos y desinformación en su plataforma que estaban realizando académicos de la Universidad de Nueva York el año pasado, alegando que está actuando por preocupación por la privacidad del usuario.

Es un intento descarado de Meta de reutilizar y extender las tácticas de cambio de culpa que implementó con éxito en torno al escándalo de Cambridge Analytica, al afirmar que el mal uso de los datos fue culpa de un solo ‘actor deshonesto’ que violó las políticas de su plataforma, por lo que está tratando de reposicionarse. como un campeón de la privacidad del usuario (¡jaja!) y armando esa tutela autoproclamada como una excusa para desterrar el escrutinio independiente de su plataforma de anuncios al cerrar la investigación académica. ¡Que conveniente!

Ese movimiento egoísta y antitransparencia específico contra NYU le valió a Meta una (otra) reprimenda de los legisladores.

Es posible que vengan más reproches. Y, potencialmente, más sanciones de privacidad, ya que los documentos abiertos brindan algunos otros detalles sorprendentes que deberían ser de interés para los reguladores de privacidad en Europa y EE. UU.

Preguntas sobre la retención y el acceso a los datos

En particular, los documentos abiertos ofrecen algunos detalles relacionados con la forma en que Facebook almacena los datos de los usuarios, o más bien los agrupa en un lago de datos gigante, lo que plantea preguntas sobre cómo, o incluso si, es capaz de mapear y aplicar controles correctamente una vez que se ingiere la información de las personas para que puede, por ejemplo, reflejar adecuadamente las opciones de privacidad de las personas (como puede ser legalmente requerido por leyes como el RGPD de la UE o la CCPA de California).

Hemos tenido un vistazo de estas revelaciones antes, a través de un documento interno filtrado obtenido por Motherboard/Vice a principios de este año. Pero los documentos abiertos ofrecen una visión ligeramente diferente, ya que parece que Facebook, a través de la disputa de descubrimiento legal de varios años vinculada a esta demanda de privacidad, en realidad pudo extraer algunos datos vinculados a personas nombradas de su vasto lago de almacenamiento.

La infraestructura interna de almacenamiento de datos se denomina en los documentos «Hive», una infraestructura que se dice «mantiene y facilita la consulta de datos sobre usuarios, aplicaciones, anunciantes y casi innumerables otros tipos de información, en tablas y particiones». .

La historia de fondo aquí es que los demandantes buscaron datos sobre personas nombradas almacenadas en Hive durante el descubrimiento. pero escriben eso Facebook pasó años afirmando que no había manera de que «ejecutara una búsqueda centralizada» de datos que podrían ser…

Continuar leyendo: Los documentos sin sellar en el traje de privacidad de Facebook ofrecen un vistazo de la auditoría de la aplicación que falta • Tecno