Το Instagram μπορεί να είναι διασκεδαστικό – Μην το αφήσετε να μετατραπεί σε όπλο: Πίσω από τη νέα λειτουργία map της Meta

Του Amit Weigman, Office of the CTO, Check Point Software Technologies, Ltd.

Όταν το Instagram παρουσίασε διακριτικά τη νέα λειτουργία «Friend Map», τη σύστησε ως έναν ευχάριστο τρόπο για να βλέπει κανείς πού βρίσκονται οι φίλοι του και να ανακαλύπτει κοινά σημεία συνάντησης. Ωστόσο, η κυκλοφορία της προκάλεσε άμεσα ανησυχίες – και όχι αδικαιολόγητα. Η κοινοποίηση τοποθεσίας δεν αφορά μόνο την ευκολία· αφορά την εμπιστοσύνη, την ασφάλεια και τον έλεγχο των προσωπικών δεδομένων.

Παρότι η Meta υποστηρίζει ότι η λειτουργία είναι προαιρετική, η πραγματικότητα είναι πως η ενεργοποίησή της μπορεί να ανοίξει την πόρτα σε πολύ περισσότερα από απλές, τυχαίες συναντήσεις. Θολώνει τα όρια μεταξύ των κινδύνων ψηφιακής ιδιωτικότητας και των απειλών φυσικής ασφάλειας, εκθέτοντας τους χρήστες σε στοχευμένες επιθέσεις, παρακολούθηση και ανεπιθύμητη προφίλινγκ. Ο τρόπος με τον οποίο έχει σχεδιαστεί η λειτουργία, σε συνδυασμό με τις κοινωνικές πιέσεις που καθοδηγούν τη συμπεριφορά στο Instagram, σημαίνει ότι ακόμη και προσεκτικοί χρήστες ενδέχεται τελικά να αποκαλύψουν περισσότερα για τις κινήσεις και τις συνήθειές τους απ’ όσο θα ήθελαν.

Η ανάλυση αυτή εξηγεί:

• Πώς το Instagram Friend Map συλλέγει και αποθηκεύει δεδομένα τοποθεσίας
• Τους κινδύνους για την ψηφιακή αλλά και τη φυσική ασφάλεια
• Τη σύγκριση του Instagram Friend Map με το Apple Find My και το Snapchat Snap Map
• Τα βήματα που μπορούν να κάνουν οι χρήστες για να μειώσουν την έκθεσή τους

Ας μιλήσουμε για τα δεδομένα

Όταν είναι ενεργοποιημένο, το Instagram Map καταγράφει δύο βασικούς τύπους δεδομένων τοποθεσίας:

1. Καταγραφές τοποθεσίας που ενεργοποιούνται από την εφαρμογή– Η πιο πρόσφατη τοποθεσία σας καταγράφεται κάθε φορά που ανοίγετε ή επανεισέρχεστε στην εφαρμογή Instagram.
2. Δεδομένα τοποθεσίας που βασίζονται σε περιεχόμενο– Οποιοδήποτε Reel, Story ή ανάρτηση στο feed συνοδεύεται από tag τοποθεσίας, καταχωρείται και συνδέεται με το προφίλ σας.

Αυτές οι εγγραφές σχηματίζουν ένα χρονολογικά καταγεγραμμένο ιστορικό κινήσεων, ακόμη κι αν δεν πρόκειται για συνεχή παρακολούθηση μέσω GPS. Με την πάροδο του χρόνου, οι επαναλαμβανόμενες check-ins στα ίδια σημεία επιτρέπουν την ακριβή εξαγωγή συμπερασμάτων σχετικά με διευθύνσεις κατοικίας και εργασίας, ταξιδιωτικά μοτίβα και αγαπημένους χώρους.

Τα δεδομένα αυτά αποθηκεύονται κεντρικά στους servers της Meta, στο ίδιο υποδομικό σύστημα που υποστηρίζει το Instagram, το Facebook, το Messenger και άλλες υπηρεσίες της. Η Meta δεν έχει διευκρινίσει πόσο καιρό τα διατηρεί, χρησιμοποιώντας τον αόριστο όρο «όσο είναι απαραίτητο» για την παροχή υπηρεσιών, την ανάλυση, τη συμμόρφωση και εμπορικούς σκοπούς. Σε αντίθεση με υπηρεσίες τοποθεσίας που δίνουν προτεραιότητα στην ασφάλεια, τα δεδομένα αυτά δεν είναι κρυπτογραφημένα end–to–end, πράγμα που σημαίνει ότι τα συστήματα της Meta –και δυνητικά οι εργαζόμενοί της– μπορούν να έχουν πρόσβαση σε αυτά. Η κεντρικοποίησή τους τα καθιστά επίσης ελκυστικό στόχο για κυβερνοεγκληματίες. Σε περίπτωση παραβίασης, οι επιτιθέμενοι δεν θα μπορούσαν να υποκλέψουν μόνο usernames και passwords, αλλά και έναν λεπτομερή χάρτη με το πού έχουν βρεθεί εκατομμύρια χρήστες.

Επειδή το Instagram αποτελεί μέρος του ευρύτερου διαφημιστικού οικοσυστήματος της Meta, τα δεδομένα τοποθεσίας μπορούν να διασταυρωθούν με το ευρύτερο συμπεριφορικό προφίλ του χρήστη. Αυτό επιτρέπει εξαιρετικά λεπτομερή στοχευμένη διαφήμιση, όπου ένας διαφημιζόμενος θα μπορούσε, για παράδειγμα, να προσεγγίσει άτομα που επισκέπτονται συγκεκριμένο γυμναστήριο τις καθημερινές ή ένα καφέ τα Σάββατα το πρωί. Η ίδια ακρίβεια που διευκολύνει αυτού του είδους το marketing μπορεί να επιτρέψει και κακόβουλες μορφές στοχοποίησης.

Η διπλή απειλή: Φυσικός κίνδυνος και ψηφιακή εκμετάλλευση

Οι κίνδυνοι της κοινοποίησης τοποθεσίας εμπίπτουν σε δύο βασικές κατηγορίες, οι οποίες μπορούν να αλληλεπικαλυφθούν:

• Φυσική διάσταση: Η αποκάλυψη της τοποθεσίας μπορεί να διευκολύνει την παρακολούθηση, τη σεξουαλική παρενόχληση ή ανεπιθύμητη επαφή δια ζώσης. Ένας επιτιθέμενος που εντοπίζει μοτίβα όπως η καθημερινή διαδρομή προς τη δουλειά, το αγαπημένο μπαρ ή τη συνηθισμένη διαδρομή τζόγκινγκ, μπορεί να αξιοποιήσει αυτές τις πληροφορίες για να οργανώσει μια συνάντηση. Εγκληματίες έχουν ήδη εκμεταλλευτεί τα location tags σε social media για να διαπιστώσουν πότε κάποιος λείπει από το σπίτι του, πραγματοποιώντας διαρρήξεις σε άδεια ακίνητα. Για ανηλίκους, οι κίνδυνοι είναι ακόμη πιο σοβαροί, καθώς οι θηρευτές μπορούν να τους εντοπίσουν, να τους παρακολουθήσουν και να τους προσεγγίσουν αν η τοποθεσία τους είναι ορατή σε ευρύ κοινό.
• Ψηφιακή διάσταση: Τα δεδομένα τοποθεσίας αποτελούν πανίσχυρο εργαλείο προφίλινγκ. Η διαφημιστική πλατφόρμα της Meta μπορεί να τα συγχωνεύσει με ιστορικό περιήγησης, αγορών και δημογραφικά στοιχεία, δημιουργώντας εξαιρετικά συγκεκριμένα κοινά. Αυτό μπορεί να κάνει τις διαφημίσεις πιο σχετικές, αλλά ταυτόχρονα ανοίγει τον δρόμο γιαστοχευμένη παραπληροφόρηση, απάτες και phishing, τα οποία αξιοποιούν το ιστορικό τοποθεσίας ώστε να δημιουργούν ψεύτικη εμπιστοσύνη. Κακόβουλοι χρήστες μπορούν να αντλήσουν συμπεράσματα για πολιτικές πεποιθήσεις, θρησκευτική ταυτότητα ή ακόμη και για την υγεία κάποιου, και να κατασκευάσουν πειστικό και χειριστικό περιεχόμενο ειδικά γι’ αυτόν.

Επειδή το Instagram Map είναι πλήρως ενσωματωμένο στο οικοσύστημα της Meta, μια παραβίαση ή διαρροή σε συνδεδεμένη υπηρεσία (π.χ. Facebook ή Messenger) μπορεί έμμεσα να εκθέσει και τα δεδομένα τοποθεσίας. Αυτή η διασύνδεση αυξάνει τον κίνδυνο σε επίπεδα πολύ μεγαλύτερα από εκείνα μιας αυτόνομης εφαρμογής.

Μα τι γίνεται με το Snapchat ή το Find My;

Κάποιος μπορεί να αναρωτηθεί πώς διαφέρει το Instagram Friend Map από άλλες γνωστές υπηρεσίες κοινοποίησης τοποθεσίας, όπως το Apple Find My ή το Snapchat Snap Map. Αν και στην επιφάνεια φαίνονται παρόμοιες, οι στόχοι σχεδιασμού, τα μοντέλα ιδιωτικότητας και τα προφίλ κινδύνου τους είναι εντελώς διαφορετικά.

• Το Apple Find My θεωρείται ευρέως το πιο ασφαλές εργαλείο κοινοποίησης τοποθεσίας για καταναλωτές. Χρησιμοποιεί end–to–end κρυπτογράφηση, ώστε οι συντεταγμένες να είναι ορατές μόνο στον παραλήπτη. Ούτε οι servers της Apple μπορούν να έχουν πρόσβαση. Η πρόσβαση περιορίζεται σε εγκεκριμένες επαφές, μέσω κρυπτογραφικών κλειδιών που συνδέονται με Apple IDs. Η λειτουργία έχει σαφή σκοπό: προσωπική ασφάλεια και ανάκτηση συσκευών – όχι κοινωνική δικτύωση ή διαφημίσεις.
• Το Snapchat Snap Map είναι επίσης προαιρετικό, αλλά έχει ιστορικό κακής χρήσης σε περιστατικά παρακολούθησης και παρενόχλησης. Ακόμα και με ρυθμίσεις όπως το Ghost Mode, αποφασισμένοι επιτιθέμενοι το έχουν εκμεταλλευτεί για να εντοπίσουν και να αντιμετωπίσουν χρήστες.
• Το Instagram Friend Map διαφέρει σε τρία βασικά σημεία:
  1. Ενσωματώνει τα δεδομένα τοποθεσίας σε ολόκληρο το οικοσύστημα της Meta, συνδέοντάς τα με ευρύ φάσμα προσωπικών πληροφοριών.
  2. Λειτουργεί εντός μιας πλατφόρμας με βασικό κίνητρο τη διαφήμιση, δημιουργώντας ισχυρό εμπορικό κίνητρο για συλλογή, ανάλυση και διατήρηση των δεδομένων.
  3. Η Meta έχει υποστεί πολλαπλές μεγάλες παραβιάσεις δεδομένων τους τελευταίους έξι μήνες, γεγονός που την καθιστά ελκυστικό στόχο για επιτιθέμενους που αναζητούν λεπτομερή και αξιοποιήσιμα προφίλ τοποθεσίας.

Friend Map ή Threat Map;

Από την πλευρά της ανάλυσης απειλών, το Instagram Friend Map έχει ήδη τραβήξει την προσοχή κακόβουλων χρηστών. Μέσα σε λίγες ημέρες από την κυκλοφορία του, εμφανίστηκαν σε υπόγεια forums συζητήσεις σχετικά με το πώς θα μπορούσε να γίνει reverse–engineering του API για να κατανοηθεί ο τρόπος αποθήκευσης και μετάδοσης των δεδομένων. Άλλες συζητήσεις επικεντρώθηκαν σε μεθόδους μαζικής συλλογής γεωγραφικών συντεταγμένων χρηστών, τη διασταύρωσή τους με ανοιχτές πηγές και την απο-ανωνυμοποίησή τους.

Οι τακτικές αυτές δεν είναι καινούργιες. Αντανακλούν μεθόδους που είχαν χρησιμοποιηθεί σε προηγούμενα περιστατικά, όπως οι παραβιάσεις μέσω Snapchat, οι διαρρήξεις με βάση geotags σε Instagram και Facebook, καθώς και η διαρροή δεδομένων του Strava heatmap, που αποκάλυψε άθελά του θέσεις στρατιωτικών εγκαταστάσεων.

Η ταχύτητα με την οποία εμφανίστηκε αυτή η δραστηριότητα δείχνει την υψηλή αξία που αποδίδουν οι επιτιθέμενοι στα δεδομένα τοποθεσίας. Ο κίνδυνος δεν περιορίζεται στο να ξέρει κανείς πού βρίσκεται κάποιος σε μια δεδομένη στιγμή· αφορά τη σύνδεση αυτής της πληροφορίας με κάθε άλλο διαθέσιμο στοιχείο, ώστε να δημιουργηθεί ένα λεπτομερές και εκμεταλλεύσιμο προφίλ του ατόμου.

Βήματα μετριασμού για τους χρήστες

Η ενημέρωση είναι η πρώτη γραμμή άμυνας – και ταυτόχρονα το σημείο όπου οι χρήστες συχνά υστερούν. Πολλοί, ιδιαίτερα οι νεότεροι, δεν κατανοούν πλήρως ότι η ενεργοποίηση της κοινοποίησης τοποθεσίας μπορεί να κάνει τις κινήσεις τους ορατές σε ανθρώπους που γνωρίζουν ελάχιστα. Οι λίστες ακολούθων σπάνια ελέγχονται, οι ρυθμίσεις αφήνονται στις προεπιλογές και η πίεση από συνομηλίκους μπορεί να ωθήσει τους χρήστες να ενεργοποιήσουν τη λειτουργία χωρίς να σκεφτούν τους κινδύνους. Αυτό το χάσμα μεταξύ επίγνωσης και συμπεριφοράς αφήνει τους λογαριασμούς ευάλωτους, μετατρέποντας μια κοινωνική δυνατότητα σε εν δυνάμει απειλή ασφαλείας.

Βήματα για τον περιορισμό της έκθεσης

Υπάρχουν αρκετά μέτρα που μπορεί να λάβει κάποιος για να μειώσει τον κίνδυνο:

• Απενεργοποίηση κοινοποίησης τοποθεσίας: Μεταβείτε στο Μηνύματα → Χάρτης → Ρυθμίσεις και ορίστε την επιλογή Κοινοποίηση τοποθεσίας σε «Κανένας».
• Περιορισμός δικαιωμάτων συσκευής: Στις ρυθμίσεις απορρήτου του κινητού σας, ορίστε την πρόσβαση του Instagram στην τοποθεσία σε Όταν χρησιμοποιείται η εφαρμογή ή απενεργοποιήστε την εντελώς.
• Τακτικός έλεγχος ακολούθων: Αφαιρέστε άτομα που δεν γνωρίζετε προσωπικά ή δεν εμπιστεύεστε.
• Γονικός έλεγχος: Οι γονείς μπορούν να χρησιμοποιούν το Instagram Family Center για να παρακολουθούν τις ρυθμίσεις τοποθεσίας των ανηλίκων και να περιορίζουν την κοινοποίηση μόνο σε έμπιστα άτομα.
• Χρήση με μέτρο: Αν ενεργοποιείτε την κοινοποίηση τοποθεσίας για κάποιον συγκεκριμένο λόγο, φροντίστε να την απενεργοποιείτε αμέσως μετά, ώστε να αποφύγετε τη δημιουργία μακροχρόνιου ιστορικού κινήσεων.