5 คะแนน โดย GN⁺ 2025-02-03 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • หลังตรวจพบแอป iPhone ที่ติดตั้งอยู่ 3 ตัวในรายชื่อรั่วไหลของ Gravy Analytics ผู้เขียนจึงดักจับทราฟฟิกโฆษณาของเกมฟรี Stack โดยตรง เพื่อติดตามเส้นทางที่ข้อมูลตำแหน่งและ IP ถูกส่งออกไปภายนอก
  • แม้จะปิดบริการระบุตำแหน่งและการติดตามแอปแล้ว คำขอของ Unity Ads ก็ยังมีข้อมูลอย่าง ละติจูด·ลองจิจูด, IP, ไทม์สแตมป์, ผู้ให้บริการเครือข่าย, IDFV, ค่าความยินยอม และอื่น ๆ รวมอยู่ด้วย
  • คำขอจาก Facebook, adjust.com และคำขอตั้งค่าของ Unity ก็รับ สัญญาณจากอุปกรณ์ อย่าง IP·ไทม์สแตมป์ หรือความสว่างหน้าจอ แบตเตอรี่ หน่วยความจำ ทำให้ยังสามารถระบุตัวผู้ใช้ให้แคบลงได้แม้ไม่มีตัวระบุโฆษณา
  • IDFA จะถูกทำให้ว่างเมื่อปฏิเสธการติดตาม แต่ระหว่างแอปของผู้พัฒนารายเดียวกัน IDFV ยังคงอยู่ และ IP·ตำแหน่ง·user agent·ตัวระบุหลายชนิดยังคงไหลเข้าสู่ระบบนิเวศโฆษณาอย่างต่อเนื่อง
  • เมื่อรวมข้อมูลการประมูลโฆษณา, ข้อมูลตำแหน่งแบบ MAID และชุดข้อมูล MAID <> PII ก็อาจเชื่อมประวัติการเดินทางของบุคคลเข้ากับชื่อ หมายเลขโทรศัพท์ และที่อยู่ได้

การทดลองติดตามโดยตรงที่เริ่มจากรายชื่อข้อมูลรั่วไหล

  • เหตุข้อมูลตำแหน่งรั่วไหลขนาดใหญ่ของ Gravy Analytics มีเนื้อหาว่าแอปใน App Store และ Google Play มากกว่า 2,000 แอป เก็บข้อมูลตำแหน่งของผู้ใช้โดยไม่ได้รับความยินยอม
  • ผู้เขียนพบอย่างน้อย 3 แอปที่ติดตั้งอยู่บน iPhone ของตนในรายชื่อที่เปิดเผย และนำไปสู่การทดลองเพื่อตรวจสอบว่าสามารถซื้อข้อมูลตำแหน่งของตัวเองจากภายนอกได้หรือไม่
  • สภาพแวดล้อมการทดลองมีดังนี้
    • iPhone 11 ที่รีเซ็ตเป็นค่าโรงงาน และ Apple ID ใหม่
    • บันทึกทราฟฟิกขาเข้าออกด้วย Charles Proxy
    • ติดตั้งใบรับรอง SSL บน iPhone เพื่อถอดรหัสทราฟฟิก HTTPS
    • เกมง่าย ๆ Stack ของ KetchApp
  • เมื่อเปิด Stack ขึ้นมา คำขอก็หลั่งไหลเข้ามาในนาทีแรก และแทบทุกช่วงเวลาก็มีคำขอหลายรายการถูกส่งออกไป

คำขอของ Unity Ads บรรทุกทั้งตำแหน่งและ IP

  • คำขอ Unity Ads ที่ส่งไปยัง https://o.isx.unity3d.com มี ข้อมูลตำแหน่ง รวมอยู่ด้วย แม้ในสถานะที่ปิดบริการระบุตำแหน่งแล้วก็ตาม
  • ในเนื้อหาคำขอมีคีย์มากกว่า 200 รายการ โดยค่าตัวอย่างมีดังนี้
    • ไทม์สแตมป์ 2025-01-18T23:27:39Z
    • รหัสประเทศ ES
    • sports.bwin.es ซึ่งดูเหมือนเป็นโดเมนที่จะแสดงโฆษณา
    • molocoads-eu-banner ซึ่งดูเหมือนเป็นเครือข่ายแบนเนอร์
    • ที่อยู่ IP cip
    • รุ่นอุปกรณ์ iPhone12,1
    • ประเภทการเชื่อมต่อ Wi-Fi
    • ผู้ให้บริการเครือข่าย Yoigo
    • ifv หรือ IDFV
    • ละติจูด·ลองจิจูด
    • IP ของเซิร์ฟเวอร์
    • uc: 1 ที่ระบุว่าเป็นค่าความยินยอมในการติดตามผู้ใช้
  • เส้นทางนี้ไหลจาก Stack → Unity → Moloco Ads → โฆษณา Bwin และมีโฆษณา Bwin แสดงในเกมจริงด้วย
  • ตำแหน่งไม่ได้แม่นยำมากถึงระดับจุด แต่ก็ยังอยู่ในพื้นที่รหัสไปรษณีย์เดียวกัน ขณะนั้น iPhone เชื่อมต่อ Wi‑Fi และไม่มีซิม

คำขอจาก Facebook และคำขอตั้งค่าของ Unity ก็รับสัญญาณจากอุปกรณ์

  • แม้จะไม่ได้ติดตั้งแอป Meta และไม่ได้เชื่อมบัญชี Facebook เข้ากับแอปหรือ Apple ID แต่คำขอที่เกี่ยวข้องกับ Facebook ก็ยังมี IP และไทม์สแตมป์ รวมอยู่ด้วย
  • ภายใน bidder_token_info และ bt_extras ของคำขอดังกล่าวมี IP และไทม์สแตมป์อยู่ และยังมีข้อมูลอื่นอีกมากถูกส่งไปพร้อมกัน
  • คำขอตั้งค่าของ Unity ที่ https://configv2.unityads.unity3d.com ไม่มีข้อมูลส่วนบุคคลโดยตรงอย่างตำแหน่งหรือชื่อ แต่มี สถานะอุปกรณ์ หลายอย่างรวมอยู่
    • เวอร์ชัน OS, ประเภทการเชื่อมต่อ, ไทม์สแตมป์ของเหตุการณ์
    • vendorIdentifier
    • มีหูฟังแบบมีสายหรือไม่
    • ระดับเสียง
    • จำนวน CPU
    • เวลาเริ่มบูตระบบ
    • สถานะแบตเตอรี่
    • ความสว่างหน้าจอ
    • หน่วยความจำที่ใช้ได้และหน่วยความจำทั้งหมด
    • เขตเวลา
    • พื้นที่เก็บข้อมูล
    • ผู้ให้บริการเครือข่าย
    • advertisingTrackingId
  • adjust.com ก็เป็นหนึ่งใน “provider” ที่ได้รับ IP และไทม์สแตมป์เช่นกัน แต่ไม่ได้มีการวิเคราะห์เนื้อหาคำขอแยกต่างหาก

การปฏิเสธ IDFA ปิดกั้นได้เพียงบางตัวระบุ

  • ifv หรือ IDFV คือ ID for Vendor ซึ่งเป็นตัวระบุเฉพาะตามผู้พัฒนา
  • เมื่อติดตั้งเกมอื่นของ KetchApp แล้วตรวจดูคำขอ ค่า ifv ก็เหมือนกับของ Stack
  • advertisingTrackingId หรือ IDFA เป็นตัวระบุข้ามผู้พัฒนาที่จะแชร์ให้แอปเมื่ออนุญาตการติดตามข้ามแอป
  • เมื่อลองสลับระหว่างอนุญาตและปฏิเสธการติดตามในแอป Stack พบว่าในสถานะปฏิเสธการติดตาม IDFA ถูกตั้งเป็น 000000-0000...
  • สิ่งที่เปลี่ยนไปตามการอนุญาตหรือปฏิเสธการติดตามคือการแชร์ IDFA ส่วนข้อมูลอย่าง IP·ตำแหน่ง·ไทม์สแตมป์ยังคงถูกส่งต่อไป
  • หากใช้แอปของผู้พัฒนารายเดียวกัน 10 แอป และยอมให้ติดตามในหนึ่งแอป ข้อมูลที่รวบรวมจากแอปของผู้พัฒนารายนั้นก็อาจถูกเสริมด้วย IDFA ได้
  • ในคำขอยังมีตัวระบุหลายตัว เช่น tid, sid, device_id, uid และ device_id กับ uid ก็ถูกแชร์ให้ Facebook ด้วย

เส้นทางการเคลื่อนที่ของข้อมูลการประมูลโฆษณา

  • เส้นทางของคำขอที่มีตำแหน่งรั่วไหลคือ Stack → o.isx.unity3d.com → Moloco Ads → ผู้ลงโฆษณา Bwin
  • Unity Ads ทำหน้าที่เป็น SSP ที่เก็บข้อมูลผ่าน SDK ของแอป
    • นักพัฒนาแอปสามารถติดตั้ง SDK และรับรายได้จากโฆษณาได้
    • ไม่จำเป็นต้องไปลงทะเบียนกับตลาดแลกเปลี่ยนโฆษณาแยกต่างหาก หรือสร้างตรรกะเก็บข้อมูลเองโดยตรง
  • Moloco ถูกอธิบายว่าเป็นเครือข่าย DSP ที่รับข้อมูลจาก SSP หลายราย เช่น Unity, Applovin, Chartboost แล้วเชื่อมต่อกับผู้ลงโฆษณา
  • บริษัทที่เป็นพาร์ตเนอร์โฆษณาสามารถเข้าถึงข้อมูลในระหว่างกระบวนการประมูลได้ และยังเป็นไปได้ที่จะใช้โครงสร้างการประมูลในตลาดโฆษณาตามปกติเพื่อเก็บข้อมูลไปพร้อมกัน
  • โพสต์ adops บน Reddit และคอมเมนต์ อธิบายว่าเมื่อรวมระบบกับ SSP ซึ่งเป็นผู้ให้บริการ bidstream ก็จะเข้าถึงข้อมูลการประมูลได้ และ SSP เป็นฝ่ายรับผิดชอบในการตรวจสอบผู้ขาย

โบรกเกอร์ข้อมูลและข้อมูลตำแหน่งแบบ MAID

  • หลังจากยืนยันเส้นทางที่ข้อมูลไหลออกไป ผู้เขียนก็เริ่มค้นหาผู้ขาย และพบ Datarade
  • เมื่อค้นหาข้อมูลที่เกี่ยวข้องกับ MAID ก็พบตัวเลือกหลายร้อยรายการ และชุดข้อมูลของ Redmob แสดงราคาอยู่ที่ $120,000 ต่อปี
  • แม้จะขอตัวอย่าง Redmob ผ่านคำขอเว็บไซต์ไม่ได้ แต่มีการเปิดเผยไว้บน Databricks Marketplace
  • คำอธิบายตัวอย่างของ Redmob ระบุว่าให้ข้อมูลตำแหน่งที่ครอบคลุมอุปกรณ์มากกว่า 1.5 พันล้านเครื่อง ทั่วโลก และยังสามารถให้ข้อมูลแยกตามภูมิภาคอย่าง MENA·Africa·APAC ได้ด้วย
  • คำว่า “low latency” หมายถึงสามารถรู้ตำแหน่ง ณ เวลาที่แอปแชร์ตำแหน่งล่าสุดได้ ซึ่งอาจเป็นเมื่อ 5 วินาทีก่อนก็ได้
  • ในข้อมูลตัวอย่างมีคอลัมน์ app ซึ่งแสดงให้เห็นว่าแหล่งที่มาของข้อมูลคือแอป
  • คอลัมน์ yod อาจหมายถึงปีเกิด แต่ยังไม่สามารถยืนยันความหมายหรือแหล่งที่มาที่แท้จริงได้

การเชื่อม MAID เข้ากับข้อมูลระบุตัวบุคคล

  • หากต้องการติดตามประวัติการเคลื่อนที่ของบุคคลจากข้อมูลตำแหน่ง จำเป็นต้องเชื่อม MAID หรือ ifa เข้ากับข้อมูลส่วนบุคคลจริง เช่น ชื่อ ที่อยู่ หรือหมายเลขโทรศัพท์
  • บน Datarade ยังมีชุดข้อมูลประเภท MAID <> PII อยู่ด้วย
  • ตารางตัวอย่างของ AGR Marketing Solutions ถูกให้ไว้ผ่าน Google Docs โดยมีชื่อเต็ม อีเมล หมายเลขโทรศัพท์ ที่อยู่จริง ข้อมูลการถือครองอสังหาริมทรัพย์ และ IDFA รวมอยู่ด้วย
  • ในโครงสร้างนี้ สามารถนำข้อมูลตำแหน่งแบบ MAID มารวมกับข้อมูล MAID <> PII เพื่อเชื่อมประวัติการเดินทางเข้ากับข้อมูลส่วนบุคคลได้

วิธีที่ประวัติการเดินทางของบุคคลหนึ่งถูกค้นพบได้

  • เมื่อใช้แอปฟรีและมีการเดินทาง ข้อมูลตำแหน่งก็จะกลายเป็นข้อมูลที่มีมูลค่าสูงขึ้น
  • ไม่ว่าจะยอมให้ติดตามแอปหรือปฏิเสธ การผสมกันของ IP, ตำแหน่ง, user agent และข้อมูลภูมิศาสตร์ ก็อาจรั่วไหลไปยังบุคคลที่สามหลายรายได้
  • DSP ปลอมและโบรกเกอร์ข้อมูลสามารถได้รับข้อมูลภายในไม่กี่วินาที
  • ผ่านข้อมูล MAID <> PII ที่ซื้อมา ก็สามารถเชื่อมชื่อหรือหมายเลขโทรศัพท์เข้ากับ IDFA, ที่อยู่ IP และ user agent ได้
  • จากนั้นหากใช้ค่าที่ได้ในขั้นก่อนหน้าไปกรองใน Mobility data ที่ประกอบด้วยประวัติตำแหน่ง ก็จะค้นหาประวัติการเดินทางของบุคคลเป้าหมายได้
  • flowchart ที่สรุปกระบวนการทั้งหมดแสดงความเชื่อมโยงระหว่างแอป เครือข่ายโฆษณา โบรกเกอร์ และชุดข้อมูลส่วนบุคคล
  • แม้แต่ละหน่วยของธุรกรรมอาจถูกกฎหมายหรือดูเหมือนถูกกฎหมาย แต่เมื่อประกอบรวมกันแล้ว โครงสร้างทั้งหมดนี้ทำให้การติดตามตำแหน่งของบุคคลเป็นไปได้

1 ความคิดเห็น

 
GN⁺ 2025-02-03
ความคิดเห็นจาก Hacker News
  • ปัญหาความเป็นส่วนตัวใหญ่คือไม่ว่าจะทำอย่างไรก็ไม่มีวิธีปกติที่จะหยุด ไม่ให้ข้อมูลรายชื่อติดต่อถูกขาย ได้
    ทันทีที่ลูกพี่ลูกน้องเปิด TikTok แล้วกด “ฉันจะแชร์รายชื่อติดต่อทั้งหมด” ชื่อ เบอร์โทร และอีเมลของฉันก็ถูกปนเข้าไปทั้งหมดด้วย
    คนก็ซื้อข้อมูลแบบนี้กันจริง ๆ ถ้าติดที่ฝ่ายบริการลูกค้า ก็ไปหาเจ้าหน้าที่ระดับผู้บริหารจากมาร์เก็ตเพลส จ่ายเงินเล็กน้อยซื้อข้อมูลติดต่อแล้วโทรเข้ามือถือ ซึ่งส่วนใหญ่ได้ผล แต่ก็อาจย้อนศรหนักได้เหมือนกัน CashApp ปิดบัญชีของฉันเพราะเรื่องนี้

    • พูดตรง ๆ ว่าทำถูกแล้ว กฎแบบเดียวกันนี้ก็ควรใช้กับคนที่ยัดเยียดระบบนี้ให้พวกเราด้วย
      นี่อาจเป็นแทบจะวิธีเดียวที่จะทำให้คนที่มีอำนาจกลับมาคิดโครงสร้างปัจจุบันใหม่ ตอนที่ Red Reddington บอกว่าไม่มีอีเมล คนยังหัวเราะกันอยู่ แต่พอเห็นสถานการณ์แบบนี้ก็เข้าใจได้
    • โชคดีที่ใน iOS 18 ส่วนนี้กำลังเปลี่ยนไปด้วยฟีเจอร์ การแชร์รายชื่อติดต่อแบบจำกัด
      https://mobiledevmemo.com/wp-content/uploads/2024/09/image.p...
      ตัวอินเทอร์เฟซก็ดูเหมือนออกแบบมาให้ผู้คนอนุญาตเฉพาะบางรายชื่อติดต่อ แทนที่จะเผลอกด “อนุญาตทั้งหมด” แบบไม่คิด
      ปัญหาที่ใหญ่กว่าคือข้อมูลรายชื่อติดต่อที่ถูกส่งต่อให้ร้านค้าออนไลน์ การเก็บรายชื่อติดต่อผ่านแอปนั้นมองเห็นได้ชัด เลยโดนทั้งสื่อและผู้บริโภคต่อต้าน แต่การสั่งซื้อออนไลน์ต้องกรอกชื่อ ที่อยู่ เบอร์โทร และอีเมลอย่างถูกต้องอยู่แล้ว และมีโอกาสสูงที่จะเป็นข้อมูลจริงเพื่อใช้จัดส่งและชำระเงิน ข้อมูลแบบนี้สามารถถูกส่งต่อไปยังนายหน้าข้อมูลอย่างเงียบ ๆ ทางหลังบ้านได้ โดยไม่มีหน้าต่างเด้งแบบ “TikTok ขอสิทธิ์เข้าถึงรายชื่อติดต่อ”
    • ตอนอยู่บริษัทขนาดกลางที่ขายให้ผู้บริโภค ก็มีลูกค้าแนวนี้เหมือนกัน พวกเขาหาผู้จัดการผลิตภัณฑ์หรือผู้อำนวยการจาก LinkedIn แล้วติดต่อผ่านเบอร์โทรหรืออีเมลส่วนตัวที่เจอในอินเทอร์เน็ต หรือถึงขั้นไปคอมเมนต์ใต้รูปที่ครอบครัวโพสต์เพื่อบ่น
      สุดท้ายก็ต้องเตือนว่าอย่าทำอีก และถ้าฝ่าฝืนครั้งที่สองก็ใช้มาตรการที่แรงขึ้น หลายกรณีทีมกฎหมายของบริษัทเข้ามาเกี่ยวข้องทันที และเพราะมีคนพยายามใช้การข่มขู่เป็นนัยเพื่อให้ได้สิ่งที่ต้องการ จึงถึงขั้นมีการพูดถึงหน่วยงานบังคับใช้กฎหมายด้วย
      เพราะงั้นก็เข้าใจได้ว่าทำไมบริษัทถึงรีบล็อกลูกค้าที่เข้าหาแบบนี้อย่างรวดเร็ว
    • สงสัยว่าโทรไปอีกเพื่อประท้วงการโดน CashApp ปิดบัญชีหรือเปล่า
    • เพราะบอทโทรขายของเอาเบอร์ฉันไป ฉันเลยต้องตั้งมือถือเป็นเงียบและไม่รับสายถ้าไม่ใช่เบอร์ที่รู้จัก มันลำบากมากเพราะก็อดกังวลไม่ได้ว่าถ้าเกิดเหตุฉุกเฉินกับลูก ๆ จะทำอย่างไร
  • ยินดีที่ได้เห็น การสืบค้นรายละเอียด ระดับนี้ บทความเรื่องความเป็นส่วนตัวจำนวนมากมักขาดความลึกทางเทคนิค หรือไม่ก็ไม่แยกแยะระหว่างข้อกังวลด้านความเป็นส่วนตัวกับระดับของความเสี่ยงจนพูดเกินจริง
    มีการอ้างถึงการสำรวจนโยบายความเป็นส่วนตัวของรถยนต์โดย Mozilla กันมาก แต่สิ่งนั้นใกล้เคียงกับการสรุปสิ่งที่ทนายของบริษัทรถยนต์เห็นว่าควรใส่ไว้ในนโยบายความเป็นส่วนตัวมากกว่า นโยบายบอกเป็นนัยว่าอาจมีการบันทึกบทสนทนาในรถ และมีโอกาสสูงว่าจะทำได้จริง แต่ไม่ได้เจาะรายละเอียดทางเทคนิค
    ตัวอย่างเช่น ยังมีคำถามว่าบริษัทรถยนต์บันทึกและส่งเสียงทั้งหมดตลอดเวลาขณะขับหรือไม่ บันทึกแค่ตัวอย่างแบบสุ่มหรือไม่ บันทึกเฉพาะตอนสั่งงานด้วยเสียงและทนายเขียนเผื่อครอบคลุมข้อมูลที่อาจติดเข้ามาโดยบังเอิญหรือไม่ เก็บไว้ที่ไหน นานแค่ไหน ส่งให้บุคคลที่สามหรือไม่ ระบบไหนปิดได้บ้าง และถ้าปิดแล้วจะกระทบฟีเจอร์ การรับประกัน หรือเบี้ยประกันหรือไม่
    คำถามพวกนี้อาจต่างกันแทบไม่รู้จบในแต่ละผู้ผลิต ข่าวความเป็นส่วนตัวจำนวนมากน่ากลัวก็จริง แต่ค้างอยู่แค่ฉากทัศน์เลวร้ายที่สุดที่มีหลักฐานไม่แน่น ถ้าไม่มีรายละเอียดและแนวทางปรับปรุง ก็มีแต่จะยิ่งกระจายความรู้สึกประชดสิ้นหวัง

    • นี่ไม่ใช่คำถามที่มีคำตอบตายตัว เพียงแต่ว่าข้อมูลที่ใช้งานได้จริงนั้น มากเกินระดับที่ส่วนตัวฉันรู้สึกสบายใจไปมาก
      เท่าที่ฉันรู้ ผู้ผลิตรถยนต์รายใหญ่ก็มีนโยบายแบบนั้นเหมือนกัน พอองค์กรของเราตัดสินใจว่าต้องการค่ามาตรฐานเชิงสถิติในบางพื้นที่ ก็มีการโทรหาไม่กี่สายไปยังคนที่เกี่ยวข้อง และไม่นานหลังจากนั้น เราก็ได้รับ แผนที่เส้นทางการเคลื่อนที่ความละเอียดสูง ของรถแบรนด์นั้นทั้งหมดที่วิ่งในพื้นที่นั้นช่วงเวลาดังกล่าว ในรูปแบบที่ทำให้นิรนามเล็กน้อย
    • สำหรับคำถามว่า “ถ้าปิดใช้งานแล้วการรับประกันจะเป็นโมฆะไหม?” คำตอบแทบจะเสมอคือ “ไม่” ในสหรัฐฯ บริษัทไม่สามารถทำให้การรับประกันเป็นโมฆะได้ เว้นแต่ว่าการดัดแปลงนั้นเป็นสาเหตุโดยตรงหรือโดยอ้อมของความเสียหาย
    • สำหรับคำถามว่า “ถ้าเป็นรถที่ไม่มีระบบแบบนั้น เบี้ยประกันจะพุ่งไหม?” ก็ตอบได้ค่อนข้างมั่นใจว่าไม่
      บริษัทประกันขึ้นเบี้ยประกันรถด้วยเหตุผลสารพัด ทั้งจริงและสมมุติ แต่ไม่ได้ขึ้นแบบพุ่งเพียงเพราะรถไม่มีอุปกรณ์บันทึกเสียง
      บางบริษัทประกันอาจให้ราคาถูกลง ถ้าได้สิทธิ์เข้าถึงรูปแบบการขับขี่ของผู้เอาประกันแล้วอนุมานได้ว่าความเสี่ยงต่ำ แต่ั่นเป็นอีกคำถามหนึ่ง
  • มี เส้นทางการติดตาม ที่น่าสนใจอยู่ไม่น้อย ฉันจ่ายค่าเช่าผ่านบริษัทชื่อ Bilt แล้วเพิ่งสังเกตว่าเวลาซื้อของที่ Walgreens, Bilt จะส่งอีเมลใบเสร็จทั้งหมดของสิ่งที่ฉันซื้อมาให้
    ตัวอย่างเช่น ข้อความแนวว่า “คุณซื้อสินค้าที่ Walgreens และได้รับ Bilt Points ผ่านสิทธิประโยชน์ Neighborhood Pharmacy” พร้อมแสดงรายการสินค้าอย่าง TOSTITOS, ราคา, แต้ม, และแม้แต่รายการที่ไม่เข้าเกณฑ์
    ภายนอกก็คงหวังว่าของอ่อนไหวอย่าง Plan B หรือถุงยางจะถูกตัดออก แต่ก็ยังสงสัยว่าข้อมูลนี้ไหลจาก Walgreens ไปยังบริษัทรับค่าเช่าของฉันได้อย่างไร บางทีไม่รู้อะไรเลยแล้วใช้เงินสดหรือแคชเชียร์เช็คอาจจะดีกว่า

    • เรื่องนี้เรียกว่า Level 3 data และร้านค้าสามารถเลือกส่งเพื่อให้ค่าธรรมเนียมธุรกรรมต่ำลงได้
      มีเธรดคอมเมนต์สั้น ๆ ตั้งแต่ไม่กี่เดือนก่อนด้วย: https://news.ycombinator.com/item?id=41213632
    • มีเขียนไว้ว่า “สมาชิก Bilt สามารถรับแต้มจากการซื้อที่ Walgreens ด้วยบัตรใดก็ได้ที่เชื่อมกับบัญชี Bilt”
      https://support.biltrewards.com/hc/en-us/articles/2901187842...
      ในส่วนสิทธิประโยชน์ FSA/HSA ด้านล่างมีระบุชัดว่า Bilt ได้รับข้อมูลระดับรายการสินค้า
      https://www.biltrewards.com/terms/walgreens
    • มันดูเหมือนเป็นแบบต้องยินยอมก่อน อย่างน้อยตอนที่เจ้าของห้องของเราย้ายมาใช้ Bilt ก็ดูเป็นแบบนั้น
      ในโปรไฟล์ Bilt มีส่วนที่แสดงว่ามีการเชื่อมกับบัตรเครดิตใบอื่นหรือไม่ และแค่การที่บัตรต่าง ๆ โผล่มาในรายการตั้งแต่แรกก็ค่อนข้างน่าขนลุกแล้ว
      ฉันปิดมันไว้แน่นอน ท้ายที่สุด Bilt ก็คือโปรแกรมสะสมแต้ม/รีวอร์ดขนาดใหญ่ ดังนั้นถ้าเชื่อมไว้ก็อาจได้แต้ม
      ฉันยังไม่แน่ใจทั้งหมดว่าแผนธุรกิจของ Bilt คืออะไร แต่ดูเหมือนแกนหลักคือการเก็บข้อมูลการเงินของผู้คนให้ได้มากที่สุด และจับมือกับเจ้าของห้องเพื่อทำแบบนั้น เพราะมันเป็นวิธีจ่ายค่าเช่า จึงถอนตัวออกทั้งหมดได้ยาก และอาจต้องกลับไปส่งเช็คกระดาษทางไปรษณีย์ให้เจ้าของห้อง
    • ฉันเคยไปยุ่งกับ Bilt มาแล้ว [0] ถ้ายังไม่รู้ Bilt มี “ฟีเจอร์” ชื่อ Instant Link ที่จะดึงข้อมูลการเงินส่วนตัวและอ่อนไหวทั้งหมดโดยอัตโนมัติจากสถาบันการเงิน เช่น บัญชีบัตรเครดิต, ยอดคงเหลือ ฯลฯ ดูเหมือนจะทำผ่านการร่วมมือกับบริษัทชื่อ Method Financial [1]
      มันเป็นซอฟต์แวร์ที่ล่วงล้ำที่สุดเท่าที่ฉันเคยใช้มา และฉันยังไม่แน่ใจด้วยซ้ำว่าสิ่งนี้ถูกกฎหมายหรือไม่ แต่ในสหรัฐฯ ที่แทบไม่มีสิทธิความเป็นส่วนตัวที่ใช้ได้จริง เรื่องแบบนี้ก็เกิดขึ้นได้
      แทนที่จะให้ผู้ใช้เลือกเองว่าจะยอมให้เข้าถึงระดับนี้หรือไม่ มันกลับลงทะเบียนให้อัตโนมัติตอนสร้างบัญชี ดึงข้อมูลไปก่อน แล้วค่อยให้ “opt out” ทีหลัง ซึ่งแปลว่าอย่างไรก็เข้าถึงข้อมูลการเงินส่วนบุคคลที่อ่อนไหวไปแล้วอยู่ดี ถ้าตึกของคุณรับค่าเช่าผ่าน Bilt บัญชีก็แทบจะเป็นสิ่งจำเป็น ทำให้ระบบนี้ถูกตั้งขึ้นเพื่อให้คนหลายล้านส่งมอบข้อมูลโดยไม่รู้ตัว
      ในการตั้งค่าความเป็นส่วนตัวของ Bilt มีตัวเลือกที่ปิดได้รวมถึง Instant Link และฉันแนะนำให้ปิดทุกอย่าง แต่จากพฤติกรรมมืด ๆ ของบริษัทนี้ ก็ยากจะเชื่อว่าการตั้งค่านั้นจะถูกเคารพจริง
      คุณรู้ไหมว่าบริษัทชื่อ Method Financial มีสิทธิ์เข้าถึงข้อมูลการเงินส่วนบุคคลที่อ่อนไหวทั้งหมดแบบเรียลไทม์ไม่ทางใดก็ทางหนึ่ง? คุณรู้ไหมว่าบริษัทที่ไม่เคยได้ยินชื่อแห่งนี้เอาสิทธิ์เข้าถึงนั้นไปขายให้ผู้เสนอราคาสูงสุด? คุณจำได้ไหมว่าเคยยินยอมเรื่องนี้ที่ไหนสักแห่ง? สำหรับฉัน คำตอบคือไม่ทั้งหมด
      [0]: https://www.biltrewards.com
      [1]: https://methodfi.com
    • ถ้าจะบอกว่า “ฉันจะใช้เงินสดหรือแคชเชียร์เช็ค” ก็ควรรู้ด้วยว่าร้านค้าปลีกขนาดใหญ่ใช้ เทคโนโลยีจดจำใบหน้า ที่ซับซ้อนและแพร่หลายอยู่แล้ว ถึงจ่ายด้วยเงินสดก็ยังอาจโยงกลับมาหาคุณได้อยู่ดี แน่นอนว่าข้ออ้างคือ “ป้องกันการฉ้อโกง”
  • เรื่อง “ทำไมต้องรู้ความสว่างหน้าจอ, ปริมาณหน่วยความจำ, ระดับเสียงปัจจุบัน, หรือว่ากำลังใส่หูฟังอยู่ไหม” นั้น ดูเหมือนว่าไม่ได้มีไว้เพื่อเพิ่มความแม่นยำของการประมูลโฆษณาเท่าไร แต่เป็นการเพิ่มเอนโทรปีเพื่อ ทำให้ผู้ใช้ไม่เป็นนิรนาม ข้ามแอปมากกว่า

    • คงจะเจ๋งดีถ้าส่งข้อมูลพวกนี้กลับไปเป็นโปรไฟล์ปลอม เพื่อสร้าง browser fingerprint ปลอมและย้อนรอยตัวติดตามได้ อาจสร้างสัญญาณรบกวนแบบสุ่มจำนวนมากเพื่อซ่อนสัญญาณจริง หรืออย่างน้อยก็ทำให้งานยากขึ้นมาก
    • จะบอกว่า “เพิ่มเอนโทรปีเพื่อทำให้ไม่เป็นนิรนาม” ก็คงไม่ตรงนัก ที่จริงคือการเพิ่มบิตของข้อมูลเพื่อ ลดเอนโทรปี ต่างหาก
    • มันยังมีประโยชน์ต่อประสิทธิภาพโฆษณาและการชักจูงโดยรวมด้วย แค่เชื่อมข้อมูลการติดตามกับข้อมูลการซื้อได้ ก็ใช้ Thompson sampling ได้แล้ว เอาจริง ๆ ก็ไม่เห็นเหตุผลว่าการรู้ชื่อคนจะเป็นธุรกิจที่ไม่ดีตรงไหน
    • การเก็บ fingerprint อย่างโจ่งแจ้งโดยไม่ขอความยินยอมมันบ้าสุด ๆ ไปเลย
    • ฉันอยู่ในอุตสาหกรรมนี้และมีความรู้ด้านนี้
      กว่าที่โฆษณา SDK เวอร์ชันใหม่จะแพร่หลายต้องใช้เวลานาน ปกติหลังออกเวอร์ชันใหม่ต้องราว 6 เดือนกว่าที่ 50% ของทราฟฟิกโฆษณาจะมาจากเวอร์ชันนั้นหรือใหม่กว่า อีกทั้งไม่ว่าคุณจะออกเวอร์ชันไหน ก็จะมีทราฟฟิกราว 1% ที่ไม่อัปเกรดเกินเวอร์ชันนั้นไปตลอดกาล
      ในโลกแบบนี้ การเก็บข้อมูลเกินความจำเป็นจึงสมเหตุสมผลทางธุรกิจ โดยเฉพาะถ้าคิดว่าไม่มีใครจับได้ ข้อมูลอย่างพื้นที่ดิสก์รวม/ว่างอาจดูเหมือนไม่จำเป็นในทันที แต่ถ้ามีผู้ลงโฆษณาบอกว่า “ฉันอยากซื้อโฆษณาเกมขนาด 10GB มูลค่า 1 ล้านดอลลาร์ต่อวัน แต่ต้องการให้แสดงเฉพาะบนอุปกรณ์ที่ติดตั้งได้” จู่ ๆ ข้อมูลว่าดิสก์ของเครื่องมีแค่ 8GB หรือเหลือว่างเพียง 100MB ก็มีประโยชน์ขึ้นมาทันที
      ถ้าก่อนหน้านี้ไม่ได้เก็บข้อมูลพื้นที่ดิสก์ ตอนนี้ก็ต้องเพิ่มเข้าไปใน SDK ใช้เวลา 1–2 เดือนกว่าจะออก SDK ใหม่, 3 เดือนกว่าจะมีทราฟฟิกที่มีนัยสำคัญ, และอีก 3 เดือนกว่าจะถึง 50% ถ้าสมมติว่าเติบโตแบบเส้นตรง คุณจะทำรายได้ 22.5 ล้านดอลลาร์ใน 7 เดือน แต่ถ้ามี logic นี้มาตั้งแต่แรก ช่วงเวลาเดียวกันอาจทำได้ 210 ล้านดอลลาร์ สำหรับคนดูแลธุรกิจก็เป็นทางเลือกที่ไม่ยาก
      มีทางแก้อยู่ แต่ทุกทางก็มีข้อเสีย ถ้าจำกัดข้อมูลที่บริษัทโฆษณาเก็บได้ มูลค่าของโฆษณาก็จะลดลง บริษัทต่าง ๆ เองก็กำลังตัดข้อมูลอย่างตำแหน่งที่มีมูลค่าต่ำและความเสี่ยงสูงออกอยู่ ฉันคิดว่ารูปแบบที่ดีกว่าคือรองรับการอัปเดตโค้ดโฆษณาแยกจากแอปได้ แต่ Apple ก็ดูไม่มีทีท่าว่าจะทำเร็ว ๆ นี้ และคำตอบของ Google ก็เละเทะเกินกว่าจะคิดว่าใช้งานได้จริงใน 4 ปีข้างหน้า
      เสริมอีกนิดว่า ความสว่างหน้าจอเป็นตัวแปรตัวแทนแบบหยาบ ๆ สำหรับประมาณอายุของผู้ใช้
  • ข้อความที่ว่า “ถ้าเป็น LTE ละติจูด·ลองจิจูดคงจะแม่นยำกว่านี้มาก” นั้นไม่ถูกต้อง แอปจะเข้าถึง ข้อมูล Cell ID ไม่ได้หากไม่มีสิทธิ์เข้าถึงตำแหน่ง และถ้ามีสิทธิ์อยู่แล้ว ก็แค่ขอตำแหน่งโดยตรงได้เลย
    ข้อความที่ว่า “แอปฟรีเก็บตำแหน่งที่แม่นยำและ timestamp” ก็ออกแนวเตือนเกินเหตุและไม่ค่อยสอดคล้องกันเอง เพราะผู้เขียนก็ยอมรับไว้ไม่กี่ย่อหน้าก่อนหน้านี้ว่า “ตำแหน่งที่แชร์นั้นไม่ได้แม่นยำนัก”
    เป็นไปได้ในทางทฤษฎีว่าแอปอาจขอตำแหน่งที่แม่นยำผ่านบริการระบุตำแหน่ง แต่แอปดังกล่าวไม่ได้ขอสิทธิ์แบบนั้น บน Android ตรวจสอบได้ ส่วน iOS ตรวจสอบสิทธิ์ที่ขอก่อนติดตั้ง·ก่อนรันได้ยาก แต่แอปแบบนี้แทบจะแน่นอนว่าถูกจำกัดไว้ที่ตำแหน่งแบบ “ไม่ได้แม่นยำนัก”
    ในทางทฤษฎี ad exchange ไม่ควรสร้าง ID ทางอ้อมเพื่อให้ติดตามข้ามแอปได้โดยไม่มี IDFA แต่การบังคับใช้นั้นทำได้ยาก
    “หากผู้ใช้รีเซ็ต Advertising Identifier คุณต้องไม่รวม เปรียบเทียบ เชื่อมโยง หรือผูกโยง Advertising Identifier เดิมและข้อมูลอนุพันธ์ ไม่ว่าโดยตรงหรือโดยอ้อม เข้ากับ Advertising Identifier ที่ถูกรีเซ็ต”
    https://developer.apple.com/support/terms/apple-developer-pr...

    • ผู้ให้บริการเครือข่ายมือถือยินดีขายข้อมูลนั้นให้แอปแน่ ๆ ถ้าเรียกผ่านเครือข่ายเซลลูลาร์ก็จะส่งคืนมาให้แม้ Wi-Fi จะเปิดอยู่ และไม่ต้องใช้บริการระบุตำแหน่งเพื่อสิ่งนี้
    • แค่ตำแหน่งระดับรหัสไปรษณีย์กับ timestamp ก็ถือว่าละเมิดความเป็นส่วนตัวได้มากแล้ว ต่อให้พูดอย่างเคร่งครัดว่ามันไม่ได้ “แม่นยำมาก” ก็ตาม
      น่าสนใจถ้าได้เปรียบเทียบว่าข้อมูลที่ส่งออกไปแตกต่างกันไหมเมื่อส่งมาจากประเทศที่มีกฎหมายความเป็นส่วนตัวดีกว่า
  • เพราะได้ “ขอไม่ให้ติดตาม” ไว้ Advertising Tracking ID จึงถูกตั้งเป็น 000000-0000 และเมื่อเทียบคำขอโดยลองปิดแล้วเปิดตัวเลือกติดตามของแอป Stack ก็พบว่าความแตกต่างเพียงอย่างเดียวคือจุดนั้น
    ผมคิดว่าคำพูดแปลก ๆ ของ Apple อย่าง “Ask App not to track” เปิดช่องให้เกิดความน่าสงสัยได้ แอปอาจไม่ติดตามด้วย ID ก็จริง แต่ถ้าข้อมูลอื่นที่ส่งออกไปมีมากพอ ก็สร้าง ลายนิ้วมือผู้ใช้ ได้ง่ายมาก แม้ไม่มี ID เฉพาะตัว ข้อมูลที่ให้มาก็อาจมากพอจะระบุตัวผู้ใช้ได้ใน 99% ของกรณี
    Dead Privacy Theory ฉบับแก้ไข: Dead Internet Theory บอกว่ากิจกรรมส่วนใหญ่บนอินเทอร์เน็ตเป็นบอต [0] ส่วน Dead Privacy Theory บอกว่าข้อมูลส่วนตัวเกือบทั้งหมดไม่ได้เป็นส่วนตัวจริง และนักวิทยาศาสตร์ข้อมูล วิศวกรซอฟต์แวร์ นักวิเคราะห์ ผู้ดูแลฐานข้อมูล และบุคคลที่สามที่มีสิทธิ์เข้าถึงฐานข้อมูลสามารถเข้าถึงได้ถ้าต้องการ
    [0] https://en.wikipedia.org/wiki/Dead_Internet_theory

    • การที่ Apple ตั้ง Advertising Tracking ID เป็น 00000-0000 ก็เพราะนั่นเป็นการควบคุมทางเทคนิคอย่างเดียวที่พวกเขามี แต่แอปก็ควรเคารพสัญญาณนั้นกับวิธีติดตามข้ามเว็บไซต์·ข้ามแอปแบบอื่นด้วย และควรปิดกลไกการทำ fingerprinting
      รายละเอียดอยู่ที่ https://developer.apple.com/app-store/user-privacy-and-data-...
  • แค่ความสว่างหน้าจอ เวลาเปิดเครื่อง หน่วยความจำ และผู้ให้บริการเครือข่าย ก็น่าจะใช้ ระบุลายนิ้วมืออุปกรณ์ ของอุปกรณ์ใด ๆ ได้เกือบหมด

    • หลายคนเปิดความสว่างอัตโนมัติไว้ ดังนั้นความสว่างคงไม่ได้ช่วยมากนักในกรณีนี้
  • เวลาอ่าน Hacker News แล้วรู้สึกน่าสนใจ คนไอทีที่สร้างซอฟต์แวร์ซึ่งทำให้อุตสาหกรรมโฆษณา การขายข้อมูลส่วนบุคคล และการติดตามเป็นไปได้ และยังได้ประโยชน์จากมัน กลับเป็นคนที่วิจารณ์มันแรงที่สุดด้วย มันน่าเหลือเชื่อ

    • เป็นไปได้ว่าคนอย่างพวกเรามองเห็น ขนาดและผลกระทบของการละเมิดความเป็นส่วนตัว ได้ชัดกว่า คนส่วนใหญ่ไม่ได้เห็นสภาพจริงกับตา แม้ลึก ๆ จะรู้ว่ามันเกิดขึ้นอยู่ แต่ก็ไม่รู้สึกว่ามันจริงจัง พอรู้ว่าทางเทคนิคแล้วสามารถดึงรายงานผู้ใช้ทั้งหมดที่ติดตั้ง Grindr ออกมาได้ มันจะรู้สึกจริงขึ้นมาทันที
      คนส่วนใหญ่คงไม่อยากทำงานในที่แบบนั้น แต่เราก็ต้องหาเลี้ยงชีพ และแทบไม่มีอิทธิพลต่อการตัดสินใจนั้นเลย
      ไม่นานมานี้ผมฟังการเปิดตัวสินค้า IoT ใหม่ของบริษัท แล้วถามทันทีว่าทำไมไม่รองรับโปรโตคอลมาตรฐานเปิดอย่าง Matter คำตอบที่ได้คือทีมการตลาดอยากให้ลูกค้าเข้ามาดูแอปเพื่อเอา “metrics” และทำ upsell จึงไม่มีทางยอม ผมบอกว่าโอเค แต่ตัวผมเองจะไม่มีวันใช้ขยะนี่แน่ ๆ แล้วก็โดนเมินไปตามระเบียบ คนแบบนี้มีน้อยเกินไปจนไม่มีใครสนใจ มันทำให้ไม่ค่อยเป็นที่นิยมในบริษัท มีแต่ความเสี่ยง และก็ไม่ได้ช่วยอะไร ความคิดแบบ “อย่าสู้เลย เข้าร่วมไปแล้วค่อยเปลี่ยนจากข้างใน” เป็นความเข้าใจผิด
    • ผมทำซอฟต์แวร์ภายในให้บริษัทที่ไม่ใช่สายเทค และไม่เคยสร้างรายได้แม้แต่ 1 ดอลลาร์
    • อย่าพูดเหมือนคนใน Hacker News ทุกคนเหมือนกันหมดและทำงานแบบเดียวกัน ความจริงมันใกล้เคียงกับว่ามีไม่กี่บริษัทที่ทำให้เรื่องพวกนี้เกิดขึ้นได้ แล้วแต่ละแผนกการตลาดก็พูดว่า “โอ้ ฉันก็อยากได้แบบนั้นเหมือนกัน”
    • เมื่อไม่มีจรรยาบรรณหรือคู่มือกฎเกณฑ์ที่ต้องปฏิบัติตาม จริยธรรมก็จะถูกตัดสินในระดับปัจเจก แล้วไม่นานมันก็กลายเป็นว่า “ถ้าฉันไม่ทำ เดี๋ยวคนถัดไปก็ทำอยู่ดี” และการต่อต้านก็ไม่มีความหมาย
      สาขาวิศวกรรมอื่น ๆ ส่วนใหญ่มีทั้งกฎและมาตรฐานที่เปิดเผยต่อสาธารณะ มีระบบคุณวุฒิวิชาชีพในอุตสาหกรรม และจริยธรรมก็ผูกอยู่ในนั้น หากเสียคุณวุฒิเพราะละเมิดจริยธรรม ในหลายกรณีก็อาจหมายถึงจบเส้นทางอาชีพไปเลย
    • ดูเหมือนกำลังจับคนสองกลุ่มที่ต่างกันมามัดรวมกันอยู่ คนส่วนใหญ่ไม่ได้สร้างซอฟต์แวร์ที่ใกล้เคียงกับวงการนี้เลยแม้แต่น้อย
  • นานมาแล้วฉันเคยคิดอยากทำ เซิร์ฟเวอร์ติดตามความรับผิดชอบ ขึ้นมา แนวคิดใหญ่คือสร้างข้อมูลรับรองแบบไม่ซ้ำกันเพื่อไล่ย้อนแหล่งที่มาว่าใครเป็นคนขายข้อมูลของฉัน
    ตอนนี้ก็ยังมีบางวิธีอยู่ แต่ดูเหมือนถึงเวลาที่ควรกลับไปสำรวจอีกครั้ง ถ้าให้บริการเป็น VPN/พร็อกซี+แอปที่รันบนเซิร์ฟเวอร์ที่บ้านของฉัน เพื่อเก็บข้อมูลของตัวเองโดยตรงและใส่ข้อมูลรับรองเฉพาะตอนสร้างบัญชี ก็อาจจะค้นพบอะไรได้ไม่น้อย
    เพราะมันสามารถทำงานเหมือนคนกลางได้ จึงอาจใส่หมายเหตุแหล่งที่มาของข้อมูลรับรองไว้และสังเกตโฆษณาเพื่อไล่กลับไปถึงต้นทางได้ด้วย ประมาณว่า “โฆษณาอาหารเสริมเพิ่มสมรรถภาพชายนี้เชื่อมโยงกับการซื้อยางรถของคุณ”
    ยังมีไอเดียที่วาดคร่าว ๆ ด้วยมืออีกเยอะ แต่ก็สงสัยว่าเราจะสร้างอะไรแบบนี้ได้ไหม ก้าวแรกในการหยุดเรื่องพวกนี้คือทำให้ผู้คนเห็นว่าใครเป็นคนทำ

    • ไม่มีข้อสงสัยเลยว่าผู้เล่นที่เกี่ยวข้องมีใครบ้าง
      https://developers.google.com/authorized-buyers/rtb/openrtb-...
    • ไม่จำเป็นต้องเข้าถึงข้อมูลฝั่งการประมูลหรอกหรือ? โพสต์ต้นฉบับบอกว่านั่นค่อนข้างง่าย แต่บริษัทที่ใช้มันเพื่อแฉผู้ลงโฆษณาคงถูกตัดสิทธิ์การเข้าถึงอย่างรวดเร็วมาก เป็นทำนองสุภาษิตที่ว่า “คนปากโป้งต้องจ่ายราคา”
    • ทำไม่ได้ เพราะการสร้างเกิดขึ้นภายในซอฟต์แวร์กรรมสิทธิ์ที่ผูกกับแอป หรือแย่กว่านั้นคือเกิดขึ้นบนเซิร์ฟเวอร์ที่ไหนสักแห่ง
  • ฉันสงสัยว่า MAID/IDfV เข้าไปอยู่ใน ฐานข้อมูล PII-ID ได้อย่างไร
    ดูเหมือนส่วนนั้นจะหายไปทั้งหมด ฉันอาจพลาดไปก็ได้
    อย่างเช่นเวลาใช้แอปของสายการบิน หรือบริษัทโทรคมนาคมหรือการไฟฟ้า องค์กรพวกนั้นสามารถขายมันได้ไหม?