Онлайн защита данных 101: не позволяйте крупным технологиям разбогатеть на вашей информации

Личная информация - это валюта, от которой зависит большая часть Интернета. Он собирается везде, часто без ведома людей, и эффективно оплачивает счета за многие бесплатные услуги и приложения, которые мы считаем само собой разумеющимся. В зависимости от того, насколько вы радикальны, вы можете рассматривать это как справедливую торговлю в обмен на услуги или как компании, извлекающие бесплатную рабочую силу из населения, использующего Интернет.

Масштабы проблемы

Понимать эту экосистему сложно, но вывести себя из нее еще сложнее. Для начала, годами вашей информации уже владеют многочисленные легальные сайты брокеров данных.

В процессе написания этой более длинной статьи о том, как компании превращают ваши данные в деньги, я изучил и приобрел информацию у нескольких брокеров данных. Затем я подвел итоги огромного объема информации, которую я сознательно и неосознанно предоставил службам социальных сетей. Это ошеломляет.

Это даже не учитывая объем моих персональных данных, которые невидимы для внешнего мира - заблокированы в базах данных издателей, сторонних рекламных компаний, поисковых сайтов, таких как Google, и так далее. Эти данные скомпилированы, разрезаны, нарезаны кубиками, возможно анонимны и распространяются полностью вне моего контроля.

Тогда есть информация, которая была украдена. О чем-то этом я знаю. Мой номер социального страхования (среди прочего) был украден во время теперь легендарного взлома Управления персоналом, в ходе которого были сохранены данные, хранящиеся в главном правительственном учреждении. Это моя шутка, что конфиденциальность не имеет большого значения для меня, так как правительство Китая, вероятно, может проверить мой кредит.

Но безнадежность скучна. Если технология втянула меня в этот беспорядок, я могу попытаться использовать технологию, чтобы вернуть меня.

Навести порядок

Сервис Abine DeleteMe просматривает веб-сайты брокеров данных и агрегаторов публичных записей, чтобы найти личную информацию для продажи. Стоимость услуги составляет 129 долларов США в год для одного человека и 229 долларов США в год для второго человека. Как и в случае с LifeLock и аналогичными услугами, вы должны предоставить Abine достаточное количество личной информации, чтобы удалить ее в другом месте. Поскольку у брокеров данных разные требования к удалению информации, Abine просит вас загрузить анонимное изображение вашего удостоверения личности, выданного государством.

Горстка этих служб отвечает мгновенно, но большинству требуется от одного до недели, чтобы обработать запросы DeleteMe. Некоторым может потребоваться до шести недель, из-за чего DeleteMe отвечает требованиям некоторых служб, чтобы запрос на удаление данных был отправлен по почте. Часть того, за что вы платите с помощью DeleteMe, - это чтобы кто-то другой занимался утомительными последующими действиями и постоянным отслеживанием личной информации. Моя личная информация может в конечном итоге вернуться на любой из этих сайтов.

Исследователь безопасности Трой Хант (Troy Hunt) управляет сайтом HaveIBeenPwned.com, который объединяет информацию о массовых нарушениях данных в поисковую службу. Это включает в себя данные, которые были раскрыты компаниями, а также публичные дампы данных от плохих парней. Введите свой адрес электронной почты, и вы можете увидеть, какие из ваших учетных записей были выставлены.

Согласно сайту, моя информация была связана с нарушениями с 17 сайтов и трех публичных информационных хранилищ. Таким образом, мои данные уже распространяются по «Темной паутине», вероятно, их снова и снова продают и переупаковывают.

Хант не предлагает инструмент для устранения этих нарушений. Вместо этого он дает тот же совет, что и я, или любой другой специалист по безопасности: измените ваш пароль на что-то сложное и действительно уникальное и включите двухфакторную аутентификацию (2FA).

Что такое 2FA? Существует три общепризнанных фактора аутентификации: что-то, что вы знаете (например, пароль), что-то, что у вас есть (например, аппаратный токен или сотовый телефон), и что-то, чем вы являетесь (например, ваш отпечаток пальца). Двухфакторный означает, что система использует два из этих вариантов. На практике это означает выполнение другого действия, такого как ввод шестизначного кода из приложения, после ввода пароля.

Что касается информации, раскрытой в нарушении, это так же хорошо, как ушел. Но знать, какие сайты подвергаются наибольшему риску, полезно. Это также возможность решить, являются ли это полезными услугами. Хотя просьба о том, чтобы сайт или служба удалили вашу учетную запись, не всегда работала (некоторые просто заархивировали ее на случай, если вы вернетесь), стоит попробовать.

Наконец, большинство программ для управления паролями содержат инструменты для проверки взломанных учетных записей и предупреждения о перезапуске паролей. Некоторые программы даже выделяют сайты, на которых вы перерабатывали пароли, и автоматически меняют их для вас.

Идти вперед

Работая над своей большой историей, я старался оставить как можно меньше данных в Интернете. Я не верю, что можно избежать сбора всех данных и при этом быть либо А) живым, либо Б) участвующим членом современного американского общества, но это можно сократить. И абсолютно возможно стать более осведомленным о распространяемой вами информации.

Адрес электронной почты

Электронная почта существует так долго, что кажется обыденной и даже расходуемой, но все же она чрезвычайно ценна. Адреса электронной почты являются полезными идентификаторами и прямым средством доступа к пользователям в Интернете. В то время как мы в PCMag годами говорили людям, чтобы они перестали перерабатывать пароли и позволили менеджерам паролей выполнять тяжелую работу, мы молчали об адресах электронной почты. Восстановленный пароль - это плохо, но адрес электронной почты также важен. Просто не было хорошего инструмента для управления кучей адресов электронной почты.

Abine Blur, однако, является одним из таких инструментов. Blur от той же компании, которая создала DeleteMe, представляет собой набор инструментов для обеспечения конфиденциальности, который включает менеджер паролей и маскированные адреса электронной почты. Просто введите реальный адрес электронной почты на веб-сайте Blur и установите расширение для браузера. Каждый раз, когда вам предлагается ввести адрес электронной почты, появляется Blur и предлагает альтернативу в маске. Письма, отправленные на ваш замаскированный адрес, будут перенаправлены Blur на ваш реальный адрес. Лучше всего, вы можете генерировать и уничтожать новые маскированные адреса на лету. Это намного лучше, чем нажать на отписаться и надеяться.

Я использую электронные письма в масках в течение нескольких недель, и я впечатлен. С помощью двух щелчков мыши я отделил службу от своей личности и позволил своему менеджеру паролей (я использую LastPass) генерировать и запоминать длинные, странные пароли. Тем не менее, я наткнулся на несколько сайтов, которые не принимают адреса электронной почты, созданные Blur. Возможно, домен электронной почты был в черном списке. Это было исключение, и у меня была небольшая проблема с сервисом.

Телефонные номера

Телефонные номера являются чрезвычайно важными идентификаторами, потому что телефонный номер почти всегда представляет отдельного человека, благодаря мобильным телефонам. И в отличие от других идентификаторов, люди должны получать и поддерживать номер телефона. Это означает, что каждый номер в определенной степени проверен. Поэтому рекомендуется ограничить степень распространения вашего номера телефона.

Если можете, откажитесь от того, чтобы сделать его доступным для приложений, запрашивающих его Не позволяйте приложениям просматривать список контактов, чтобы соответствовать вашим друзьям. Старайтесь не добавлять свой номер телефона в формы, если это абсолютно необходимо.

К сожалению, мы не можем держать наши номера телефонов в секрете. Во-первых, вы, вероятно, хотите получать звонки и текстовые сообщения. Во-вторых, вы должны предоставить телефонный номер некоторым компаниям, чтобы получить коды 2FA.

Вы можете ограничить распространение своего номера телефона, просто создав другой. Google Voice, отличный и в основном беспроблемный сервис, создает телефонный номер, который будет перенаправлен на любое количество устройств. Вы можете совершать и принимать звонки из приложения Google Voice и даже отправлять и получать тексты. В течение многих лет я выдавал свой номер Google Voice вместо своего номера телефона. Но я обнаружил, что некоторые службы 2FA не принимают номер Google Voice.

Аккаунт Abine Blur также можно использовать для создания одноразовых телефонных номеров. Звонок с вашего номера от Abine стоит $ 0, 01 для подключения и $ 0, 01 за минуту, что является небольшим картофелем по сравнению с $ 3, 00 на звонки, которые вы получаете каждый месяц.

И Google Voice, и Abine Blur ограничивают вас одним фиктивным номером телефона. Приложение Burner, однако, позволяет вам создавать и уничтожать числа по вашему усмотрению. Я не тестировал это приложение и не могу говорить о его эффективности или безопасности, но это действительно хорошая идея.

Способы оплаты

Кредитные карты чрезвычайно удобны, но в отличие от наличных, они оставляют следы на бумаге. У банка-эмитента или компании, выпускающей кредитные карты, есть список всего, что вы купили. Как и номера телефонов, каждая карта обычно привязана к одному человеку. Они также требуют некоторых усилий, чтобы получить и поддерживать.

Я советую людям как можно больше избегать использования дебетовых карт просто потому, что у вас есть больше средств защиты прав потребителей с помощью кредитной карты. Но из соображений конфиденциальности и безопасности я рекомендую по возможности избегать использовать номер вашей действующей кредитной карты. Это легко сделать, если у вас недавно установлен смартфон Apple или Android. Мобильные платежные приложения, такие как Apple Pay, Google Pay и Samsung Pay, все токенизируют данные вашей кредитной и дебетовой карты. То есть они создают фиктивный номер, который связан с вашим действительным номером карты.

Вы можете распространить эту же защиту на другие контексты с помощью кредитных карт Abine Blur. С Blur вы можете быстро создать предоплаченную кредитную карту с поддельным именем и платежным адресом. Минимальная сумма составляет 10 долларов США, но вы можете запросить возврат денег за ваши карты в маске, которые вы не используете. Вы также можете создавать и уничтожать замаскированные карты по своему усмотрению, что означает, что вы оставляете небольшой след от своих покупок на веб-сайте или в выписке по кредитной карте.

Блокировщики трекеров

Когда вы перемещаетесь по Интернету, сайты назначают вам трекеры и файлы cookie. Некоторые из них позволяют сайту вспомнить, кто вы есть, и предоставляют индивидуальные возможности каждый раз, когда вы заходите. Это полезно, например, если вы всегда корректируете размер текста на новостном сайте. Но другие файлы cookie и трекеры используются для отслеживания ваших перемещений в Интернете, чтобы отслеживать ваши привычки или целевую рекламу.

К счастью, вы можете заблокировать множество трекеров и куки, используя любое количество блокировщиков рекламы и трекеров. Я предпочитаю Privacy Badger от Electronic Frontier Foundation (EFF), но есть много других. Ghostery, TunnelBear и Abine Blur являются хорошими вариантами, и некоторые блокировщики рекламы также доступны для iOS и Android.

Обратите внимание, что использование этих блокировщиков может иногда нарушать работу сайтов. Например, блокировщик может помешать сайту взаимодействовать со службой, которая хранит все его изображения, или он может помешать отправке онлайн-формы. Конфиденциальность Badger и другие включают в себя переключатели для каждого из трекеров и куки на сайте, позволяя вам белый, черный список или временно разрешить отдельную услугу. Вы также можете настроить большинство блокировщиков для внесения в белый список всего сайта.

Почтовые клиенты и сервисы

Google говорит, что больше не ищет в ваших почтовых ящиках Gmail для перенаправления рекламы, но, похоже, AOL и Yahoo все еще делают это. Кроме того, многие электронные письма от компаний и служб содержат трекеры и другие технологии, которые отслеживают, проходят ли их сообщения, и отслеживают ли вы, когда вы нажимаете на ссылку в письме. Частично это делается с помощью удаленного контента, то есть элементов, которые хранятся в другом месте в Интернете, но вызываются по электронной почте, которую вы получаете. Когда загружаются удаленные элементы, тот, кто отправил письмо, знает, что он прошел.

ProtonMail (от создателей ProtonVPN) - это служба зашифрованной электронной почты, которая не зарабатывает на вашем контенте. Это означает, что не нужно переадресовывать рекламу и ботов, которые просматривают ваши письма. Он также по умолчанию блокирует удаленный контент в электронных письмах, позволяя вам выбрать, хотите ли вы, чтобы эти элементы загружались в ваш почтовый ящик.

Почтовый клиент Thunderbird, возможно, не самый лучший способ проверить вашу электронную почту, но он может блокировать удаленный контент и встроенные трекеры. Он имеет детализированные элементы управления, которые позволяют вам вводить адреса электронной почты в белый список для удаленного контента, временно разрешать удаленный контент и выбирать, какие службы могут загружаться в ваши сообщения.

Виртуальные частные сети

Благодаря решению нашего Конгресса-клоуна, интернет-провайдеры теперь могут продавать анонимные версии вашей пользовательской информации. Это не будет включать ваше имя и будет объединено с информацией от многих других пользователей, но все же: это превращает вашу онлайн-деятельность в деньги для интернет-провайдеров.

Когда вы используете виртуальную частную сеть (VPN), ваш провайдер не может видеть, что вы делаете в Интернете. VPN также эффективно скрывает ваше истинное местоположение и маскирует ваш IP-адрес; оба из них могут быть использованы, чтобы идентифицировать вас в Интернете и направить рекламу в вашем направлении. PCMag рекомендует NordVPN, частный доступ в Интернет или TunnelBear для ваших нужд VPN.

Есть много плюсов и минусов в использовании VPN, о которых я подробно говорил в своем постоянном освещении пространства VPN. В целом, большими недостатками VPN являются цена, влияние на производительность и блокирование просто для использования VPN.

Контейнеры Firefox

Хотя для некоторых это взрыв из прошлого, новейшая версия Firefox чрезвычайно хороша. Черт возьми, это вернуло меня к использованию браузера vulpine впервые за почти десятилетие. Наряду со своей скоростью (и общим вниманием к конфиденциальности), у Firefox также есть новая хитрость: контейнеры.

Контейнеры позволяют создавать отдельные пространства для разных контекстов. Например, вы можете создавать контейнеры для работы, покупок, банковских операций и т. Д. Все сайты, которые вы посещаете или входите в каждый контейнер (который может содержать несколько вкладок), остаются в этом контейнере. Если вы вошли в учетную запись Google в своем офисе в рабочем контейнере, вы не будете этого делать, когда перейдете на другой контейнер.

Mozilla, некоммерческая компания Firefox, также предлагает специальное расширение для контейнера Facebook, которое хранит все ваши действия в Facebook в одном месте. Это делает социальному гиганту намного сложнее отслеживать вас через Интернет. Вы можете создавать свои собственные контейнеры и назначать их отдельным сайтам.

Изучение альтернатив

Многие доминирующие силы в Интернете сегодня основаны на бизнес-моделях, которые монетизируют пользовательские данные. Но если вы готовы внести большие изменения, целая галактика услуг, которые не стремятся превратить вас в долларовые купюры, существует.

За последние несколько месяцев я решил изучить некоторые из открытых и закрытых сервисов в Интернете. Хотя некоторые из них находятся в зачаточном состоянии, интересно посмотреть, как выглядит сеть, когда она не связана с моей информацией.

Используйте веб-приложения вместо приложений

Билл Будингтон, старший технолог EFF, рекомендует людям использовать веб-приложения вместо загрузки приложений из магазинов приложений. В приложениях может быть множество сложных технологий отслеживания, иногда размещаемых без явного ведома разработчиков приложения. Проблема в том, что некоторые онлайн-сервисы склоняют вас к использованию приложения. Tumblr и, например, практически невозможно использовать в мобильном Интернете.

DuckDuckGo

Google и Facebook доминируют в сборе данных и распространении контента в Интернете. Если вы хотите развестись с Google, попробуйте DuckDuckGo. Этот сервис не регистрирует вашу поисковую активность и не пытается монетизировать ваши действия. Он также имеет некоторые изящные функции, которые не предлагает Google, в том числе темный режим для своей страницы поиска и возможность непосредственно переходить к результатам поиска изображений.

Я нашел некоторые вещи, в которых Google просто лучше, чем DuckDuckGo. Например, Google почти всегда может найти твит, основываясь только на контенте, который я помню. DuckDuckGo, не так много. Но, сделав DuckDuckGo моей поисковой системой по умолчанию в Firefox, Google теперь стал еще одним инструментом в моей интернет-панели инструментов.

OpenStreetMap

Карты Google, пожалуй, одно из величайших творений эпохи Интернета. Возможность найти свой путь из одного места практически в любое другое место на Земле из панели поиска - это удивительно. Но Google Maps также торгует на вашей деятельности. Когда вы используете его, вы предоставляете Google ваше местоположение, а также важную информацию о вас, такую ​​как ваши поездки, ваши привычки путешествий и даже то, где вы любите делать покупки и есть.

OpenStreetMap - это свободно распространяемый картографический сервис из краудсорсинга. Подумайте, Google Maps, но с открытым исходным кодом. Он может доставить вас из точки А в точку Б довольно хорошо пешком, на машине или на велосипеде. К сожалению, ему не хватает маршрутов транзита и бизнес-поиска, которые делают Карты Google такими волшебными. Но опять же, приятно иметь альтернативу в наборе инструментов.

Вступить в федерацию

Хотя было предпринято несколько попыток создать этичную социальную сеть без рекламы, большинство из них стали изюминками. Открытие Mastodon в 2016 году немного отличалось, по крайней мере, для меня, потому что сервис был настолько отточен при запуске. Это была также прекрасная возможность узнать о федеративных социальных сетях: сети, состоящие из разных серверов, которые все общаются друг с другом.

Подумайте об этом так: вы можете подписаться на адрес электронной почты на любом количестве сайтов. Yahoo, Google, Apple, ProtonMail - выбирайте! Но вы можете отправлять и получать электронные письма кому-либо еще с адресом электронной почты, независимо от выбранной ими услуги. Это федеративная сеть. Это противоречит монолитному дизайну большинства социальных сетей: было бы нелепо предполагать, что вы можете использовать Twitter, чтобы общаться с кем-то на Facebook. Эти две службы просто не разговаривают друг с другом.

Каждая установка Мастодонта (называемая «экземпляром») может связываться с любым другим экземпляром. Люди, которые подписались на Mastodon.social, могут, например, отправить мне сообщение @ на infosec.exchange.

В этих новых федеративных сервисах действительно впечатляет то, что совершенно разные социальные сети могут видеть и общаться друг с другом, если они используют один и тот же протокол ActivityPub с открытым исходным кодом. Например, пользователь Мастодонта разрабатывает клон Instagram под названием Pixelfed, который когда-нибудь объединится с аккаунтами Мастодонта. Когда вы входите в свою учетную запись Pixelfed, это похоже на Instagram со своими внутренними постами и подписчиками. Но пользователь Mastodon может подписаться на мою учетную запись Pixelfed и увидеть мои сообщения в своей ленте Mastodon. В настоящее время на различных стадиях разработки существуют замены для YouTube, Medium и GrooveShark на основе ActivityPub.

В дополнение к тому, что федеративные социальные сети трудно монетизировать, они открыты. Поскольку они представляют собой сеть сетей, а не просто один сервис, такой как Twitter или Facebook, ни одна организация не может получить представление о том, что происходит в федеративной сети.

Федеративные социальные сети, по большей части, все еще работают. Но концепция захватывающая и отталкивает от идеи, что людям нужно сдавать свои данные, чтобы получить тот опыт, который мы привыкли ожидать в Интернете.

Мои неудачи в демонетизации

Несмотря на попытки максимально ограничить объем данных, я обнаружил некоторые проблемы, которые просто не смог преодолеть. Например, мой адрес доставки - это очень очевидная часть персональных данных, которую я должен сообщать на довольно регулярной основе. Я мог бы открыть почтовый ящик, но я не могу жить с доставкой на дом.

Хотя я работаю, чтобы использовать VPN везде, где это возможно, я не зашел так далеко, чтобы установить его на маршрутизаторе и спрятать все мои устройства за ним. Это означает, что моя горстка интеллектуальных устройств и игровых консолей в домашних условиях не шифруется. Мой интернет-провайдер, несомненно, заметил, сколько потоковой передачи Netflix я делаю и сколько времени я потратил на генерацию сетевого трафика PlayStation.

Я старался как можно больше скрывать свои онлайн-платежи, но я не избавился от PayPal или Venmo. Эти услуги являются слишком большой частью моей жизни, и игнорирование их будет означать, что я не получу деньги назад и не смогу легко расплатиться с другими.

Я сопротивлялся Spotify в течение долгого времени, но я сдался несколько лет назад. Я не жалею об этом, но я знаю, что эта компания чрезвычайно осведомлена о том, что я слушаю. Слишком сложно сказать «нет» огромному каталогу, который он предлагает, и, как бы я ни сказал, я на самом деле считаю музыкальные рекомендации Spotify чрезвычайно полезными.

• Facebook завершит таргетированную рекламу, созданную с помощью стороннего анализа данных Facebook завершит таргетированную рекламу, созданную с использованием стороннего анализа данных
• Reddit взломан, несмотря на двухфакторную аутентификацию SMS Reddit взломан, несмотря на двухфакторную аутентификацию SMS
• Отчет: AOL, Yahoo Scan E-mail пользователя, продают данные рекламодателям Отчет: AOL, Yahoo Scan User E-mail, продают данные рекламодателям

Я также продолжаю пользоваться своим домом Google. Это мой самый большой позор частной жизни, потому что я знаю, что мне это не нужно. Я также знаю, что он записывает все, что я говорю, и отправляет это обратно в Google для обработки. Я даже слушал эти записи в приложении Google Home. И все же у меня есть три таких устройства в моем доме.

И, несмотря на мои протесты против их практики сбора данных, я не удалил свои учетные записи Facebook или Twitter. В случае с Twitter это профессиональное давление и необычный социально-политический момент, в который мы, американцы, попадаем. Для Facebook это неявное давление со стороны сверстников против внезапного исчезновения из мира. Это почти как если бы я удалил себя из Facebook, я бы убрал себя из сознания моих друзей и семьи. И хотя я бы хотел, чтобы рекламодатели забыли меня, сейчас это слишком высокая цена.