:

Szerző: Habók Lilla

2018. február 6. 13:10

Strava: botrány után gondolkodás

A katonai bázisok megjelenése a Strava hőtérképein egyszerre volt a cég és a felhasználók felelőtlenségének, illetve a központi szabályozás hiányosságának hibája. Mi a cég feladata ilyen esetben - a válaszok túlmutatnak a konkrét eseten.

Múlt héten robbant ki a minibotrány a Strava sportolói közösségi alkalmazás kapcsán, melynek 2015-ben megjelent, tavaly év végén (1 milliárd aktivitással, 10 terabájt nyers adattal) frissült hőtérképéről kiderült, hogy titkos katonai bázisokat is leleplez a katonai és humanitárius felhasználói miatt - mutatott rá Twitteren egy biztonsági szakértő. A térképen felfedezhető, hogy hol vannak például "titkos" amerikai bázisok Afganisztánban és Szíriában vagy hol találhatók létesítmények a háborús övezetekben. Továbbá az is elemezhető, hogy mely útvonalakat használják kevésbé és gyakrabban, például őrjáratok útvonalaihoz. Az esetnek rögtön következményei is lettek, a kongresszus tagjai közül többen számon kérték a Stravát az adatkezelési probléma miatt, és a cég belső vizsgálatot indított.

Múlt héten a vállalat közzétett egy nyílt levelet a felhasználói számára, melyben James Quarles vezérigazgató elismeri a vállalat felelősségét a megosztott adatokkal kapcsolatban. A cég eszerint felveszi a kapcsolatot a katonai szervekkel és a kormányzatokkal, hogy azonosítsa az érzékeny adatokat. Továbbá a fejlesztők megvizsgálják, hogy "az eredetileg sportolók motiválása és inspirálása céljából készített funkciókat nem lehet rossz szándékkal használni". Ezenkívül a cég ígéretet tett, hogy frissíti az adatkezelési és biztonsági eszközöket, illetve a mérnökök és a UX szakértők leegyszerűsítik hogyan lehet a felhasználói adatokat kezelni - vagyis hogy a jövőben ne kerüljenek ki olyan adatok nyilvánosan, amit a felhasználó vagy a tágabb közösség számára érzékeny lehet.

strava_katonai_bazis

Egy tipikus példa hogyan jelennek meg a rejtett objektumok a térképen

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Első lépésként tapasztalható, hogy a szolgáltatás elérhetetlenné tette bizonyos felhasználók számára az egyik jól ismert funkciót, amellyel kedvelt edzési területeket, úgynevezett szegmenseket lehet készíteni. Így nem csak az adott felhasználó tud sportolni a kedvenc helyén, hanem mások is megmérhetik a saját teljesítményüket ugyanott. A funkció eltüntetésével együtt az alkalmazás néhány jól ismert, korábban felvitt területet is elrejtett, melyek esetleg érzékeny útvonalakat is tartalmazhattak.

Egy redditező kérdésére az ügyfélszolgálat azt felelte, hogy jelenleg vizsgálják ezt és az ehhez hasonló funkciókat, hogy mások ártó szándékkal próbálják-e használni a megoldást - ez egyébként a cég válasza a múlt heti közlemény óta szinten minden kérdésre, a The Verge érdeklődésére is. Úgy tűnik ugyanis, hogy nem minden felhasználót érint a vizsgálat, mivel vannak, akik továbbra is zavartalanul tudnak szegmenseket létrehozni, de nem tudni a megkülönböztetés okait.

Kinek a felelőssége?

Sokak szerint a Strava esete tipikus példa arra, hogy az amerikai cégek milyen felelőtlenül kezelik az adatokat vagy hogy a GPS-alapú nyomkövető alkalmazások önmagukban milyen problémákat hordozhatnak. Mások szerint viszont a felhasználók a Strava letöltésével beleegyeztek abba, hogy az alkalmazás követni fogja a tartózkodási helyüket, és a sporttevékenységet privát módba is lehet állítani, amit feltehetően sokan nem tettek meg.

Nem feltétlenül lehet azt állítani, hogy a Strava hibázott ebben az esetben, hiszen az adatokat csak anonim módon jelenítette meg, viszont a hasonló nyomkövető szolgáltatásoknak a jövőben proaktívabban kellene gondolkodni, amit akár jogi szabályozás is támogathatna. Jelenleg a felhasználóknak általában egyetlen kapcsoló áll rendelkezésükre, amellyel beállíthatják, hogy nyilvánosan megosztják-e a tevékenységük vagy egyáltalán nem, de sok felhasználó nem gondol bele a kettő közötti különbség jelentőségébe.

A cégek több adatkezelési lehetőséget is megadhatnának minden (sport)tevékenység végén, amely alaphelyzetben kikapcsolt, és a felhasználó egyesével dönthet róla, hogy például szeretné-e megosztani az indulási és érkezési helyének pontos adatait is, ami esetleg az otthonához elvezet. Esetleg a tevékenység teljesen privát volt, amit senkivel nem szeretne megosztani, és az anonimizált hőtérképen sem lehet rajta. Netán a teljesítmény teljesen nyilvános, amit a közösségi oldalakon is meg lehet osztani. A jövőben érdemes lenne a Stravához hasonló cégeknek ilyen jellegű lehetőségeken is gondolkodni, amellyel a felhasználók is jobban bele tudnának gondolni a megosztott adatok jelentőségébe.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról