Вирусное приложение FaceApp как пример добровольной сдачи персональных данных третьим лицам

Фото отсюда

В июле этого года в сети разразилась очередная эпидемия «челленджей» с помощью мобильного приложения FaceApp, обрабатывающего лица пользователей с помощью нейросетей. Вслед за резидентами Comedy Club и прочими известными персонажами российского шоу-бизнеса идея выкладывания на всеобщее обозрение своих искусственно состаренных фотографий захватила умы голливудских звезд. В итоге сегодня FaceApp занимает первые позиции в магазинах App Store и Google Play в России, США и многих других странах, число скачавших его пользователей превысило 100 млн. человек, а прибыль разработчика, по оценкам Forbes, превышает 4 млн. долларов в год. Но есть и подводные камни, о которых подавляющее большинство пользователей, попадающих под такие «вирусные» тренды, не задумываются.

Разработчик FaceApp – петербургский специалист по искусственному интеллекту Ярослав Гончаров, ранее работавший в Microsoft и «Яндекс». Потому тревогу по поводу бесконтрольного сбора персональных биометрических данных (если кто забыл, детальное фото лица – это наша биометрия) первым делом забили американцы. Так, исследователь кибербезопасности, известный под псевдонимом Эллиот Элдерсон (настоящее имя Батист Робер), установил приложение и проверил, куда оно отсылает лица пользователей. По словам Элдерсона, FaceApp отправлял загруженные фотографии – те, которые пользователь хочет обработать – на сервер компании.

Вызывает вопросы внезапный всплеск популярности приложения, присутствующего в интернет-магазинах с 2017 года. Кроме того, для пользования FaceApp необходим работающий интернет. Это означает, что сотни миллионов фотографий лиц пользователей перед обработкой отправляются в удаленное хранилище.

«Внимание, раз в несколько лет FaceApp возвращается. Это весело. Это привлекает многих людей. Но оно также запоминает ваше лицо вместе с некоторыми данными. И не говорит, что делает с этими данными. Будьте осторожны», – пишет в «Твиттер» эксперт по интернет-безопасности Скотт Бадмэн.

Пользователи обратили внимание на политику приватности разработчиков FaceApp, изложенную в лицензионном соглашении. В ней, в частности, говорится, что приложение получает доступ ко всем фотографиям пользователя на телефоне, к результатам его интернет-поиска, к его реальному имени и сетевому псевдониму, а также местонахождению. Здесь же добавляется, что приложение отдает собранные данные «рекламным партнерам» для «улучшения таргетирования».

Страх «всемогущих русских хакеров», очевидно, тоже дал о себе знать. Поэтому совсем недавно, 25 июля, член Демократической партии США Чак Шумер направила в ФБР заявление о необходимости срочной проверки приложения FaceApp на предмет похищения оным пользовательских данных. По его мнению, приложение может нести угрозу нацбезопасности страны. Шумер, очень переживает, что личные данные жителей США станут доступны российским спецслужбам.

Что тут сказать – вопрос приватности и защищенности личных данных является ключевым для гражданина любого государства. На Западе уже было немало случаев, когда вполне невинное на первый взгляд приложение собирало личные данные, а затем третьи лица использовали их в своих целях. Так поступала, в частности, Cambridge Analytica, когда люди думали, что проходят обычный психологический тест, а после узнали, что собранная о них информация была использована в предвыборной кампании Дональда Трампа.

В мае этого года NBC сообщил о том, что приложение Ever, предлагавшее бесплатно хранить пользовательские фотографии, использовало их для того, чтобы тренировать нейросети для инструмента по распознаванию лиц, который впоследствии был продан правоохранительным органам. Еще один печальный пример связан с компанией IBM, которая использовала снимки из фотохостинга Flickr для схожих нужд, при этом не уведомив владельцев фотографий.

Примечательно, что в тот же день, 25 июля, Ярослав Гончаров дал интервью Forbes, в котором попытался успокоить своих пользователей и клиентов. По его словам, серверы FaceApp.io расположены в дата-центрах Google и Amazon в США, при этом компания автоматически удаляет загруженные туда фотографии через 48 часов. Хранение в течение двух суток Гончаров объясняет тем, что пользователи не хотят загружать фото заново каждый раз, когда используют новый фильтр.

Также Гончаров заявил о готовности переписать пользовательское соглашение. Текущая версия предоставляет FaceApp почти полное право собственности на загруженные фотографии и позволяет ей использовать, изменять и продавать снимки, как компания сочтет нужным, без какой-либо компенсации и информирования пользователя.

«Люди перепугались, потому что они думают, что мы делаем все, о чем говорим в этом соглашении, что, конечно же, не так. На самом деле условия соглашения были настолько широкими, потому что ранее я планировал превратить FaceApp в «социальную сеть лиц». Чтобы разрабатывать такой продукт, наша политика конфиденциальности должна была быть очень похожей на политику Instagram. Сейчас наша политика именно такова, но никто же не винит Instagram, потому что это Instagram», – отмечает Гончаров.

Тем временем, антивирусная компания ESET заявила о распространении мошеннической схемы, направленной на пользователей фоторедактора FaceApp. В качестве приманки используются поддельные версии приложения с расширенным функционалом. То есть злоумышленники воспользовались популярностью сервиса и начали распространять клоны FaceApp Pro, вплоть до создания фейковых сайтов и ссылок на скачивание приложения в роликах на YouTube. При попытке установить приложение пользователь видит множество всплывающих окон, ведущих к подпискам на платные приложения, рекламу, вирусные уведомления и т.д.

История с FaceApp является еще одним ярким примером того, как IT-компании могут практически открыто собирать масштабные персональные данные сотен миллионов людей, вплоть до биометрических данных. Вы просто решили повеселиться вслед за героями Comedy Club, Бузовой или Собчак, посмотреть на «вероятного себя» в старости – и ваша биометрия тут же утекла через открытый интернет в облачное хранилище к третьим лицам. Достаточно, к примеру, раздобыть образец вашего голоса – и, согласно свежим российским законам, можно попробовать получить удаленный кредит в банке на ваше имя. С таким же успехом вы можете увидеть свое «отредактированное» лицо на баннере, рекламирующем продукцию секс-шопа или иную запредельщину. Люди почему-то не хотят извлекать уроки из предыдущих скандальных историй, продолжая поддаваться искусственно раскручиваемым трендам.

Возможно, соблазн воспользоваться вирусным приложением, которое рекламируют друзья и партнеры в соцсетях, для кого-то окажется слишком велик, но не стоит забывать о том, что ваша приватность и защита персональных данных стоят дороже любой не долгоиграющей модной фишки.