Hrajete si na Facebooku? Vědí to o vás!

Wall Street Journal odhalil, že mnohé z nejoblíbenějších her a dalších aplikací na Facebooku přenášely uživatelská ID nejméně ke dvaceti pěti reklamním a marketingovým společnostem. Uživatelské ID je ono mnohamístné číslo, které se objevuje v URL — v adresním řádku prohlížeče — když procházíte Facebook; objevuje se tam nejen číslo vaše, ale i těch přátel, na jejichž stránku se podíváte, anebo se kterými se nějak spojíte přes aplikaci.

Aplikace nejspíše nepřenášely ID záměrně. Přenos vychází z toho, jak komunikují prohlížeče se servery podle protokolu HTTP. Internetový prohlížeč při výměně se serverem předává také hlavičku zvanou „referer“ — kdo odkazuje — tedy adresu stránky, ze které uživatel přichází. Jenže na Facebooku a v mnoha aplikacích tamtéž (a na některých jiných internetových službách rovněž) bývají součástí adresního řádku i údaje jednoznačně vedoucí k osobním profilům, z nichž každý zjistí alespoň to, co je veřejné; a víte, že k údajům povinně veřejným nyní na Facebooku patří jméno, profilový obrázek, pohlaví a příslušnost k sítím — ovšem jen v té podobě a do té míry, jak jste tyto položky vyplnili.

Sice lze na „referer“ pohlížet jako na přežitek z doby, kdy si někdejší tvůrci internetových protokolů nedokázali představit široké komerční využívání internetu, jenže to, že se do adresního řádku dostávají odkazy na osobní údaje, je především vina tvůrců Facebooku (a aplikací pro něj), že službu tak navrhli a umisťují je tam. Uznáváme, že je někdy dost obtížné řešit to ve webových aplikacích jinak. Celý internet a web se dnes potýká na mnoha frontách s dědictvím svých naivních počátků.

Již koncem jara odhalil WSJ, že uživatelské ID odcházelo v refereru inzerentům, když uživatel Facebooku klikl na inzerát. To Facebook prý napravil. Nyní se jedná o v podstatě stejný problém, jen se týká facebookových aplikací.

Většina reklamních a marketingových společností, které WSJ oslovil, aby se vyjádřily, prohlásila, že uživatelská ID neshromažďuje, neukládá a nijak jich nevyužívá. Našla se však společnost Rapleaf, ze San Francisca, která přiznala, že zjištěná ID doplňovala do profilů už vytvořených ve své databázi. V některých případech je i předávala dál. Ostatně svou databázi beztak využívá komerčně. Jako jediná sotva.

Facebook ve vyjádření pro WSJ problém přiznal a slíbil, že „podnikne kroky, aby dostupnost osobních údajů dramaticky omezil“. Některé aplikace jsou nyní dokonce střídavě nedostupné. Facebook sice může slibovat nápravu, ale uniklá data už nikdo nevrátí. Jenže s údaji o vás čile obchoduje kdekdo (mnohdy s vaším souhlasem, ježto jste někde něco podepsali nebo odklikli a moc o tom nepřemýšleli) a tento případ je nejspíš jen kapkou v moři.