회사에서 합법적으로 데이터를 수집하는 방법 및 중지하는 방법

게시 됨 업데이트 됨
Cover image for: 회사에서 합법적으로 데이터를 수집하는 방법 및 중지하는 방법

2018 년에 Cambridge Analytica는 퀴즈 앱을 사용한 수천 개의 계정을 통해 얻은 지식 없이도 최소 87 억 8 천만 명의 Facebook 사용자 데이터를 수집 한 것으로 밝혀졌습니다.

온라인 데이터 수집은 교활하고 지속적입니다. 오늘날 그 어느 때보 다 많은 데이터를 수집 할 수 있습니다. 사람들 은 처음부터 2000 년까지 이틀마다 많은 양의 데이터를 생성합니다. 이 규모를 살펴보면 개인 데이터가 무해한 것처럼 보일 수 있습니다.

Facebook, Google 및 Amazon과 같은 회사는 이러한 종류의 유용한 데이터에 액세스하기 위해 벌금과 명예 히트로 엄청난 금액을 지불했습니다. Onavo 및 Facebook Research와 같은 프로그램을 사용하여 Facebook에서 수집 한 데이터 (청소년 및 기타 사람들 이 데이터거의 무제한으로 액세스 할 수 있음)는 WhatsApp이 메신저보다 두 배 이상 자주 사용되어 Facebook이 구매를 촉진한다는 사실을 발견했습니다. 2014 년 WhatsApp. 이것은 매우 귀중한 것으로 판명되었습니다.

실제로 데이터 보호는 소비자가 모든 회사가해야 할 일을 신뢰할 수있는 것은 아닙니다. 대신, 데이터를 보호하려면 적극적인 접근 방식이 필요합니다. 이 문서는 데이터의 취약성을 인식하여 데이터를 보호하는 데 도움이됩니다. 데이터 보안을 유지하기 위해 수행 할 수있는 작업에 대한 팁으로 끝납니다.

어두운 패턴을 조심하십시오

많은 Onavo 사용자는 많은 양의 데이터에 액세스 할 수 있으며이 데이터가 Facebook에서 사용될 것이라는 것을 인식하지 못했을 것입니다. Onavo는 사용자 전화에 대한 루트 권한과 컴퓨터에 대한 VPN 액세스를 요구하여 Facebook이 사용자 데이터에 대한 친밀한 액세스를 허용했습니다. 소셜 미디어 앱의 개인 메시지; 인스턴트 메시징 앱의 채팅 (이 채팅에서 보낸 사진 및 비디오 포함); 이메일; 인터넷 브라우징 기록; Onavo를 사용하여 위치 정보를 Facebook에 모두 액세스 할 수있었습니다.

물론 앱과 웹 사이트에서 합법적으로이 데이터에 액세스하려면 먼저 사용자의 허가를 받아야합니다. 회사에서 공개적으로 명시 적으로 이러한 권한을 요청한 경우 사용자는 이러한 요청을 거부 할 가능성이 높습니다. 결과적으로, 많은 회사는 "어두운 패턴" 의 복잡한 미로를 사용하여 사용자 데이터에 합법적이고 합법적으로 액세스 할 수 있습니다.

어두운 패턴은 결과를 얻기 때문에 사용됩니다. 다음 중 하나 이상에 해당하면 사용자가 회사에 권한을 부여 할 가능성이 높습니다.

ㅏ. 사용자는 다른 대안이 없거나 권한 부여가 가장 빠르고 쉬운 방법이라고 생각합니다.

회사에서는 종종 가입하는 동안 액세스를 거부하는 단계를 명확하지 않고 복잡하게하여 사용자가 액세스 권한 부여를 피하기 어렵게 만듭니다. 권한을 획득하는이 "roach motel"방법은 LinkedIn 이 회사에 연락처 목록에 대한 액세스를 거부하기 위해 사용자가 취해야하는 매우 복잡한 경로에서 볼 수 있습니다.

이미 부여 된 액세스 권한을 제거하는 것은 처음에 액세스 권한을 부여하는 것보다 더 복잡한 경우가 많습니다. 데이터 또는 쿠키 추적 권한 설정은 종종 예상되는 영역 (예 : "개인 정보"섹션)에 없습니다. 오해의 소지가있는 문구 나 비정상적인 행동을 사용하여 혼동을 일으킬 수도 있습니다. 예를 들어, 사용자에게 권한을 제공하지 않기 위해 상자를 선택하라는 메시지가 표시 될 수 있습니다.

Send me details or do not send me details?
세부 정보를 보내거나 세부 정보를 보내지 않습니까?

비. 사용자가 액세스 권한을 부여하고 있음을 인식하지 못합니다

권한 부여는 종종 암호 작성과 같은보다 분명한 다른 단계에 고정됩니다. 이 방법을 사용하면 사용자가 특정 데이터 권한에 동의했음을 식별하지 못할 수 있습니다. 작은 활자를 사용하면 그러한 계약을 간과 할 가능성도 높아집니다.

Set a password and sign up for offers?
비밀번호를 설정하고 오퍼에 가입 하시겠습니까?

씨. 사용자는 빠르게 행동해야한다는 압박감을 느낀다

이것은 일반적으로 세 가지 압력 전술 중 하나에 의해 달성됩니다.

  1. 부족함을 만듭니다. Booking.com은 종종 신속하게 숙박 예약을 유혹하기 위해 단지 " 1 개의 방이 남았다 "고 잘못 주장하고 있습니다.
  2. 시간 압력을 소개합니다. 항공편 및 티켓과 같은 특정 품목을 구매할 때이 전술에 익숙합니다. 예약 회사는 장바구니에있는 품목에 시간 제한을 둡니다. 회사는 유사한 전술을 사용하여 데이터로부터 권한을 얻을 수도 있습니다.페이스 북은 가짜 빨간 알림 점을 사용하는 것처럼 보였다사용자에게 새로운 개인 정보 보호 계약에 동의하라는 메시지가 표시되면 메시지를 읽기 위해 사용자가 급히 동의하도록 유혹 할 수 있습니다.
  3. 전술을 겁주는 것. 여기에페이스 북이 사용한 용어얼굴 인식 데이터에 대한 액세스를 요청할 때 : "얼굴 인식을 끈 상태로 유지하면 낯선 사람이 사진을 사용하여 가장 한 경우이 기술을 사용할 수 없습니다.불행히도, 데이터를 보호하려는 사람들과 데이터를 보호하려는 사람들 사이의 구분이 희미 해 지므로 데이터 수집에있어 무서운 전술은 어디에나 존재한다.

반대로 온라인 시스템에 대한 사용자의 이해를 높이기 위해 만든 Jakob Nielson의 10 가지 유용성 휴리스틱 중 3 개는 혼동과 발진 결정을 촉진하기 위해 설계된 어두운 패턴으로 대체되는 경우가 많습니다. 섹션, 녹색 버튼)을 사용하면 사용자가 개인 데이터에 액세스하려는 사람들이 정한 미리 정해진 경로를 따라갈 가능성이 높아집니다.

법이 논쟁의 여지가없는 경우에도, 형벌은 심각한 억지력으로 행동하기에 충분하지 않은 경우가 많습니다. 법을 위반 한 것으로 밝혀진 대기업은 일반적으로 YouTube가 1998 년 어린이 온라인 개인 정보 보호법 (COPPA)을 위반 한 것으로 판명 된 후 2019 년 말에 Google에서 1 억 7 천만 달러를 지불 한 등 벌금에 처해 있습니다. 의심 할 여지없이 큰 금액이지만 회사의 이익을 거의 긁지 않고 막대한 기술 회사에 대한 그러한 처벌의 효과에 의문을 제기합니다.

암호화는 완전하지 않다

iPhone을 사용하고 설정을 사용하지 않으면 많은 데이터가 이미 암호화되어 있습니다. 큰! 암호화는 해킹 할 수 없다는 것을 의미합니까? 글쎄요. 미래에는 이론적으로 강력한 컴퓨터가 암호화 된 데이터의 암호를 해독 할 수 있지만 수백 년이 걸릴 수도 있지만 암호화 된 데이터에 액세스해야 할 수도 있습니다.

데이터가 암호화되었다고해서 항상 안전하다는 의미는 아닙니다. 예를 들어, 암호화에 대한 다른 접근 방식을 고려하십시오. "End-to-End"암호화는 데이터의 양 끝과 전송시 암호화 된 데이터를 의미하는 최고의 표준입니다. 그러나 많은 서비스는 일부 상황에서만 데이터를 암호화하며 반드시 회사가 끝나거나 기기에서 "휴식"상태 인 것은 아닙니다.

실제로 많은 개인 데이터가 항상 완전히 암호화되지는 않습니다. 브라우저가 사이트 또는 서비스에 대한 연결이 안전하다고 말할 수 있지만 기본 서비스가 안전하다는 의미는 아닙니다. Gmail과 Evernote는 암호화를 사용하지만 엔드 투 엔드 암호화되지 않은 제품의 예입니다. 이는 Google 직원이 사용자 메시지를 읽을 수 있도록하는 것입니다. (Google은 그 이후로 많은 보호 수단을 마련해 두었음에도 불구 하고 그 관행은 여전히 발생합니다 .)

경우에 따라 회사는 완전히 암호화 된 것으로 생각되는 데이터를 다른 회사에 전달할 수 있습니다. 타사 전자 메일 앱을 사용하는 경우 해당 사용자의 데이터에도 액세스 할 수 있습니다. Google은 타사 앱이 귀하의 이메일 데이터에 액세스 할 수 있도록 허용합니다 . 즉, 데이터 에 대한 모든 액세스 권한이있는 타사 앱은 귀하의 액세스를 구체적으로 요청하지 않고도 법적으로 이메일을 읽을 수 있습니다 .

Amazon의 Alexa와 같은 스마트 스피커의 녹음은 전송 중에 암호화 되지만 Amazon 클라우드에 도달하면 효과적으로 암호화되지 않으므로 한 고객에게 다른 사용자의 Alexa에서 얻은 1,700 개의 오디오 파일을 보낼 수 있습니다.

암호화 키 보호

완전히 안전한 방식으로 데이터를 암호화 할 수 있습니다. 회사가 최종 사용자 만 액세스 할 수있는 키로 암호화 된 데이터를 저장하는 경우 회사와 키가없는 사람은 데이터를 해독 할 수 없습니다. 이러한 데이터에 액세스 할 수있는 방법이 없다면, 보호 수단이 필요한 모든 것들이 사라집니다. 회사는 구매 및 정책 변경, 데이터 유출 및 유출, 데이터 공유가 불가능합니다. .

잘 보호 된 것으로 여겨지는 iPhone 및 iPad의 iCloud 백업은 다른 사람이 완전히 액세스 할 수있는 것은 아닙니다. Apple이이를 해독하는 열쇠를 보유하고 있기 때문입니다. 이는 Apple이 고객이 영구적으로 잠겨지지 않도록하기 위해 의도적으로 결정한 것입니다. 데이터의 ( 우리는 여기서 트레이드 오프를 탐색 ) FBI압력 으로 인해 만들어졌습니다.

iCloud 백업은 취약하지만 Health, iCloud 키 체인 및 암호와 같은 기타 민감한 데이터는 Apple이 보유하지 않은 키로 완전히 엔드-투-엔드 암호화되므로이 정보는 원격으로 액세스 할 수 없습니다. 이것이 모든 Apple 데이터 저장소에 적용되는 것은 아니지만 중앙 키 저장소가없는 엔드 투 엔드 보안 은 Apple의 고유 한 판매 포인트 중 하나입니다 .

Apple은 앱 개발자가 구축 할 수 있도록“CloudKit”이라는 프레임 워크를 제공하며 CloudKit에 저장된 데이터는 종단 간 암호화됩니다. 이를 잘 활용하는 개발자의 한 예로 메모 작성 앱인 Bear 가 있습니다. Bear는 데이터 저장을 위해 Apple의 기술을 사용하므로 Bear의 프로그래머조차도 데이터에 액세스 할 수 없으며 Apple도 마찬가지입니다. 데이터 소유자 만 가능합니다.

이와 같은 시스템 구축에는주의가 필요하며, 무해한 실수로 인해 암호화의 효율성이 저하되기 쉽습니다. Apple의 "iCloud의 메시지"서비스는 다음과 같은 문제를 겪습니다. Apple은이 데이터에 대한 키를 명시 적으로 보유하지 않지만 키 사본을 사용자의 iCloud 백업에 포함시킬 수 있으며 Apple은 해당 키를 보유합니다. 따라서 한 서비스는 다른 서비스를 잠금 해제 할 수있는 키를 제공 할 수 있습니다.

Google Play의 모든 앱이 안전한 것은 아닙니다

Apple의 App Store에서 제공되는 앱은 다운로드 권한이 부여되기 전에 힘들게 검토하기 때문에 안전합니다. App Store 에서 앱을 얻는 것이 Google Play에서 앱을 얻는 것 보다 시간이 많이 걸리고 비용이 많이들 수 있기 때문에 이는 종종 앱 개발자에게 억제력으로 여겨집니다. Google Play의 앱 검토 프로세스가 훨씬 적기 때문입니다. 이는 개발자에게는 좋지만 소비자에게는 좋지 않습니다. 안전하지 않거나 악의적 인 앱이 Google Play 스토어로 유입 될 가능성이 높아집니다. Facebook Research 및 Onavo의 데이터 마이닝 규모가 밝아지면 Apple은 즉시 앱 스토어에서 앱을 가져 왔지만 Onavo는 Facebook에서 완전히 제거 될 때까지 몇 주 후에 Google Play를 통해 계속 사용할 수있었습니다.

2018 년 4 월 Sophos Labs의 보고서 는 Google Play에서 200 개의 앱을 조사한 결과 서비스에서 제공되는 모든 무료 안티 바이러스 앱의 50 % 이상이 "로그웨어"로 분류 될 수 있다고 결론지었습니다. 이 보고서에 따르면 일부 앱은 3 억 ~ 4 억 번 다운로드되었으며 Google Play 스토어에서 무료 안티 바이러스 앱을 다운로드하지 말 것을 경고했습니다.

이러한 악성 앱의 대부분의 주요 목표는 사용자가 지불해야하는 바이러스가 있다고 믿게하는 것이었지만 (일부 앱은 바이러스를 다운로드하여 클레임을 검증하는 것처럼 보임), 많은 사람들이 여러 중요한 데이터에 대한 액세스를 요청했습니다 권한. 이러한 앱에서 요청한 권한은 위치 정보, 카메라 액세스 및 사용자 모르게 사용자의 전화 액세스와 같은 일반적인 바이러스 백신 앱에 필요한 기능 범위를 벗어나는 경우가 많습니다.

Sophos Labs 보고서가 게시 된 이후 Google은 앱 스토어 보안을 위해 노력했습니다. 2019 년 11 월,이 회사는 Google Play 스토어에서 악성 앱의 존재를 없애기 위해 ESET, Lookout 및 Zimperium과 같은 세 가지 안티 바이러스 회사와 App Defense Alliance를 구성 했습니다. 그러나 App Defense Alliance가 사용자 데이터 보호와 관련이 있는지는 확실하지 않습니다.

바이러스 백신 소프트웨어가 항상 보호 기능을 제공하지는 않습니다

타사 바이러스 백신 소프트웨어의 사용은 다음 세 가지 요인으로 인해 지난 10 년 동안 감소했습니다.

  1. 안티 바이러스 소프트웨어의 혜택을 볼 수있는 컴퓨터에는 로컬이 아닌 일반적으로 암호화 된 상태로 클라우드에 데이터를 저장하는 사용자가 증가하고 있습니다.
  2. 비례 적으로 더 많은 데이터가 스마트 폰에 저장되는데, 이는 컴퓨터보다 안전을 둘러싼 엄격한 제어 및 규정을 가지고있는 경향이 있습니다.
  3. 최신 운영 체제에는 표준 바이러스 백신 보호 (예 : Mac의 Gatekeeper 또는 Microsoft Defender)가 포함됩니다.

타사 바이러스 백신 소프트웨어의 사용이 줄어듦에 따라 이러한 회사는 까다로운 상황에 처해 바이러스 백신 합병 및 다른 분야로 피봇을 유지하기 위해 노력하고 있습니다. 안티 바이러스 소프트웨어에는 일반적으로 컴퓨터에 저장된 데이터에 대한 광범위한 액세스 권한이 부여되므로 (소프트웨어가 컴퓨터의 어디에나 저장된 악성 코드를 식별하는 경우 필요한 단계), 이들 회사는 많은 민감한 데이터에 액세스 할 수 있습니다. 바이러스 백신 소프트웨어는 데이터에 대한 상당한 액세스로 인해 백도어 감시 도구로 성공적으로 사용되었습니다.

오늘날 광고되는 거의 모든 안티 바이러스 회사는 데이터 보호법이 취약한 국가를 기반으로하거나 다른 방식으로 쉘 회사를 사용하고 있습니다. 유럽이나 미국에 없습니까? 데이터 보호법 (영국), GDPR (유럽) 및 SafeHarbor (미국)는 없습니다. 따라서 이러한 회사는 사용자 데이터에서 가치를 포착하는 추가 방법을 쉽게 찾을 수 있습니다.

이러한 회사의 위치는 일반적인 안티 바이러스 소프트웨어와 함께 VPN을 제공하는 데 유리합니다. VPN은 타사를 통해 모든 사용자 데이터를 퍼널합니다. 이것은 사용자의 인터넷 트래픽을 일부 권한을 피할 수있는 경로로 이동시키기 때문에 합리적 일 수 있지만, 그 데이터는 알려지지 않은 비공개 회사의 손에 맡깁니다. 많은 VPN이 중국에 기반을두고 있거나 중국 소유권을 가지고 있으며, VPN이 중국에서 공식적으로 금지되어 있다는 점을 고려할 때이 데이터의 보안에 대해 좋은 질문이있을 수 있습니다.

VPN은 광고 및 마케팅에 적극적으로 참여하고 있으며 YouTube 광고를 유료 광고에 점점 더 많이 사용하고 있으며 Google은 VPN을 홍보하기 위해 제휴 비용을 지불하는 사이트에서 실제 리뷰 나 편집을 찾는 것이 거의 불가능할 정도로 익사하고 있습니다. 이것은 변하지 않을 것 같습니다. 당신이 새로운 참가자이고 훌륭한 제품을 만들고 윤리적으로 운영하기를 원한다면 절망적 인 해외 AV 회사와 경쟁하지 않을 것입니다! 신뢰도가 높은 시장에 맡겨진 기업 대부분이 의심되는 것은 아이러니하다.

이러한 생각을 염두에두고 데이터를 보호하기 위해 취할 수있는 몇 가지 원칙과 단계가 있으며 아래 섹션에 설명되어 있습니다.

데이터를 보호하는 방법

다음은 데이터를 보호하기 위해 구현할 수있는 간단한 단계 목록입니다. iPhone 사용자 인 경우 iPhone, 사진 및 iCloud 계정 보호에 대해 자세히 알아 보십시오 .

  1. Google은 정기적 인 소프트웨어 및 보안 업데이트를 안정적으로 제공하는 유일한 공급 업체이므로 Android를 사용해야하는 경우 Google과 같은 휴대 전화 (예 : Pixel)를 사용하십시오. Google Play에서 앱을 다운로드 할 때 발생하는 위험에주의하십시오. 이것이 제한적이거나 번거 롭다면 iPhone으로 전환 해보십시오.
  2. 앱을 다운로드하거나 서비스에 가입해야합니다. 익명의 회사 또는 강력한 데이터 보호법 (유럽, 미국, 캐나다)을 가진 영토 외부의 회사가 운영하는 어두운 패턴 및 서비스에주의하십시오.
  3. Facebook과 같은 광고 기반 서비스에 의존하지 마십시오. 최악의 경우 Facebook으로 로그인하거나 앱을 설치하지 마십시오. Google Wi-Fi와 같은 제품 또는원격으로 데이터 수집. 강력한 방화벽리틀 스 니치(macOS) 또는가디언 방화벽(iOS,“우리에게 데이터는 자산이 아닌 책임입니다”)는 침입 데이터 수집을 차단하거나 강조 할 수 있습니다.
  4. 앱이나 소프트웨어를 찾을 때 App Store 또는 신뢰할 수있는 타사 리뷰 소스에있는 리뷰 이외의 리뷰에 의존하지 마십시오. 웹 사이트에서 리뷰를 가짜로 만들고, 작은 가짜 독립적 인 리뷰 사이트를 만들고,Google 검색 결과에 별표 표시. Trustpilot과 같은 더 큰 검토 사이트조작 가능하지만 여전히 최고의 리뷰 출처 일 수 있습니다.
  5. 웹캠과 마이크에주의하십시오.이를 사용하는 앱이 반드시 명확하지는 않습니다. 조차마크 주 커버 그는 계속 막아그가 그것을 사용하지 않을 때. 고려웹캠 방패마이크 블록컴퓨터가 사용자를 기록하지 못하게 할 수 있습니다.
  6. 사용하다이중 인증(2FA), SMS를 통해 사용하지 마십시오. ""라고 알려진 것을 수행하는 것은 비교적 쉽습니다.SIM 재킹”다른 사람의 SMS 메시지에 액세스하기위한 공격. 트위터의 CEO는성공적으로 공격2019 년에 이런 식으로.
  7. iCloud는 엔드 투 엔드 암호화가 아니며 무료 저장 공간이 5GB이므로 iCloud를 사용하지 않고 iTunes 또는 iPhone Backup Extractor (이 기능 모두 무료)를 사용하여 iPhone 또는 iPad를 정기적으로 백업하십시오.
  8. 전체 디스크 암호화 (FDE)를 사용하십시오. 최신 iOS 및 Android 기기에서는 기본적으로이 기능이 활성화되어 있지만 PC 나 Mac에서는 그렇지 않습니다. Mac에서는 이것을FileVault그리고 Windows에서는BitLocker. FDE가 없으면 누구나 컴퓨터에서 하드 드라이브를 제거하기 만하면 계정을 보호하기 위해 사용하는 암호를 무시하고 데이터를 볼 수 있습니다.
  9. 소프트웨어 업데이트를 연기하지 마십시오. 컴퓨터, 휴대 전화 또는 브라우저가 자주 업데이트하고 다시 시작하려는 것처럼 보일 때 실망 할 수 있지만 이러한 업데이트에는 중요한 보안 업데이트가 포함되어있는 경우가 많습니다.
  10. 암호 관리 앱은 사용자가 사용하는 앱과 서비스에 대해 고유하고 안전한 암호를 설정하고 기억하도록 돕는 데 매우 중요합니다. 올바른 비밀번호 관리자는 중복 또는 취약한 비밀번호를 감지하고 유출 된 비밀번호의 데이터베이스 (예 :가지고있다.1 비밀번호LastPass잘 작동합니다.

이 기사를 개선 할 수 있습니까?

사용자의 의견을 듣고 싶습니다. 전자 메일을 보내지 말고, 의견을 남기거나, 트윗하지 마십시오. @reincubate?

© 2008 - 2020 Reincubate Ltd. 판권 소유. 영국과 웨일즈에 등록 #5189175, VAT GB151788978. Reincubate와 Camo는 상표입니다. 개인 정보 정책 & 자귀. 우리는 2FA를 권장합니다. 런던에서 Built로 지어졌습니다.