I ty Sezname? Fingerprinting

I Seznam.cz už používá identifikaci uživatelů prostřednictvím fingerprintingu.

Seznam: ikona vyhledávače, společnosti a jejich služeb

Pro Instaluj.cz SEO specialista a copywriter Daniel Beránek:

Seznam se dal na biometrický fingerprinting

Bezpečnostní expert Michal Špaček si všiml nevšední aktivity webu Seznamu při přihlašování do emailu: snímání uživatelova biometrického fingerprintingu, který je pak ukládán společně s ostatními běžně zadávanými údaji do registračního formuláře. K čemu pak Seznam fingerprinting potřebuje a je to vůbec legální?

Michal Špaček je vývojář webových aplikací soustřeďující se na jejich zabezpečení. Koncem června si všiml neobvyklé aktivity při registraci do emailu Seznamu:

Zajímavé, www.seznam.cz si při registraci v prohlížeči sbírá behaviorální biometrická data, konkrétně stisky kláves a pohyby myši a posílá si je společně s ostatními údaji zadanými do registračního formuláře.

To se jinými slovy rovná biometrickému fingerprintingu – tedy identifikaci unikátního vzorce interakce konkrétního uživatele s počítačovými periferiemi (jako je rychlost stisku/sekvencí kláves, či specifické manipulace s myší.

Špaček to vysvětluje:

Podle způsobu psaní, podle toho, jak rychle mačkáte klávesy a jaké mezi nimi děláte prodlevy, se dá do určité míry spolehlivě poznat, že ten, kdo píše na klávesnici , jste vy. Používá se to občas jako doplněk k zadávání přihlašovacích údajů, protože když najednou někdo napíše heslo jinak, než ho běžně píšete vy, tak to může znamenat, že vaše heslo má i někdo jiný.

Právě coby doplněk k zadávání přihlašovacích údajů obhajuje funkcionalitu Seznam: „Slouží jednorázově pro zvýšení bezpečnosti při registraci.“ Při bližším dotazování pak Seznam odpovídá, že se snaží o detekci toho, zda se k účtu místo člověka nesnaží přihlásit automatizovaná aplikace – robot.

To Lupě potvrdil i David Finger, produktový manažer služby Email Seznam.cz

Rychlost úhozů, pohyb myši a podobně, které jsou u každého člověka naprosto unikátní, používáme k tomu, aby se nám na Seznam neregistrovali roboti a nezakládali falešné e-mailové schránky, přes které pak chodí spam.

Zakomponování biometrie může české freemailové jedničce pomoci odstínit registrující se roboty, ale také méně otravovat uživatele nutností zadávat CAPTCHA: O stoprocentní úspěšnosti eliminace robotů se pochopitelně hovořit nedá, ale pomohlo nám to výrazně zredukovat falešné registrace. Teď pro nás představují minoritní problém, nastiňuje situaci Finger. CAPTCHA používáme ve chvíli, kdy už máme nějaké podezření. Nechceme ji zobrazovat všem lidem, protože je to zbytečná překážka, a když k ní není důvod, nechceme jí uživatele otravovat.

V budoucnu chce Seznam takto sbíraná data využít kromě detekce robotického chování také k ověřování identity například při vydávání zapomenutých hesel. Aktuálně nejsou tato data – dle prohlášení Seznamu – ukládána. Jde pouze o jednorázový příspěvek k vyhodnocování přihlašovací aktivity. Proto ani nespadají do zákonů o ochraně uživatele/spotřebitele.

Souhlas uživatele by aktivita vyžadovala, kdyby byla data ukládána trvaleji. To potvrzuje Květa Gebauerová z Úřadu na ochranu osobních údajů:

V obecné rovině lze říci, že pro účely zajištění bezpečnosti je možné po krátkou dobu využít omezenou množinu údajů. Souhlas s využitím údajů by pak byl nutný za předpokladu, že by údaje byly zpracovávány a ukládány po delší dobu a byly propojitelné s konkrétními uživateli. Pokud jsou shromažďovány a dále zpracovávány anonymní či statistické údaje bez možnosti je vztáhnout ke konkrétnímu uživateli, nejedná se o zpracování osobních údajů ve smyslu zákona o ochraně osobních údajů.

Zdroje