记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

汽车位置数据似乎暴露了人们生活、工作和出行的地点

2021-06-14 13:51


Otonomo表示,其车辆位置数据可以保护隐私,但数据显示实则不然。


2月19日星期五,有人开车经过默塞德湖高尔夫俱乐部,沿着280号高速公路,停在Dignity Health-GoHealth Urgent Care 设施外。但他们的车最常停在旧金山迷人的Noe Valley地区的特定地址外。


我们知道这一点是因为一家名为Otonomo的公司在美国和世界其他地区售卖车辆的精细位置数据。Otonomo还免费提供一部分位置数据。这些数据本应该是匿名的,仅与汽车的非描述性识别号相关联,但我们发现找到汽车可能属于谁并跟踪他们的动作竟然是一件相对容易的事情。一位消息人士从Otonomo公司提取数据,提供给我们加利福尼亚、柏林和其他城市司机的GPS坐标,这些数据可以跟踪毫无戒心的司机,并确定他们可能的家庭地址和身份。


该新闻暴露出了车辆位置数据这一新兴市场正在崛起,保险公司、广告商和其他可以获得它的人正在利用这一市场。政府承包商也提出将此类数据出售给美国军方用于监视目的。该实验表明了匿名位置数据的脆弱性,但是Otonomo公司的使用条款中的一项协议指出其将不会试图揭露数据中的真实人物。


电子前沿基金会(EFF)的律师Adam Schwartz告诉我们,Otnomo的数据产品是一场“隐私噩梦”。他认为,EFF一直担心车辆的位置数据会“捆绑并出售给想要盈利的数据经纪人”,并指出Otonomo是如何在其面向公众的网站上获得此类数据的。


成立于以色列的Otonomo公司与一些汽车制造商达成协议,以此来从车辆中获取位置数据。Otonomo为投资者所做的演讲称,该公司与16家原始设备制造商建立了合作伙伴关系,车辆安装数量超过4000万辆,每天收集43亿个数据点。该公司还从遥测服务提供商 (TSP) 获取数据,这些数据来源于其他不同地方,例如导航应用程序和卫星导航系统。但是反过来“成千上万的组织”也可以访问Otonomo的数据。


Otonomo汽车数据服务平台为TSP提供了新的机会来从他们的数据中提取价值。Otonomo公司内容和通信主管Jodi Joseph Asiag在一封电子邮件中告诉我们,免费帐户可用的数据由TSP提供,并且没有“免费提供的汽车OEM数据”。



访问Otonomo的一些数据相当简单。首先使用Gmail地址在Otonomo的网站上创建一个免费帐户,输入了一个虚假的公司名称,并能够在不久之后从美国某个特定州请求一份包含10,000个位置点的电子表格。表格中包括Otonomo分配给设备或车辆的唯一识别号 、记录的纬度和经度、数据源或提供者的哈希值以及与数据点相关的街道。


研究人员独立地重复了这个过程,并建立了大量跨越不同州和国家的Otonomo数据。研究人员允许匿名来源,以保护他们免受Otonomo的报复。然后,依靠来源确定数据中每辆车最常访问的位置,以找到潜在的家庭位置。


EFF的Schwartz在谈到Otonom 的数据隐私方法时说:“即使他们(Otonomo)拥有其认为的去标记化和聚合功能,但众所周知,这些技术在实际保护人们的隐私方面是无效的。”


一家使用汽车位置数据的公司工作的第二位消息人士表示,此类数据“相对容易去匿名化”。


他们补充说:“我不相信有真正的方法可以在不修改原始数据的前提下使这些数据匿名化。”“也许您可以删除所有经常访问的区域,以尝试消除其将反映到住宅区域的机会,但即便如此,仍然有可能将这一行为加入第三方来源当中。”


当被告知大数据泄露时,来自Otonomo的Asiag在一份声明中说:“隐私是我们平台、技术和愿景的核心。”


这份声明还说:“越来越多的正在申请专利的技术列表支持这一隐私声明,这些技术专注于为汽车和移动领域的应用程序开发商和服务提供商提供安全、隐私保护、丰富和协调的车辆数据。这些车辆数据推动了新的创新和有价值的服务造福司机、智慧城市和整个交通生态系统。这些好处包括道路服务、提高道路安全、改善城市停车、减少拥堵,以及为实现创新保险的电气化革命铺平道路。”


Asiag表示,Otonomo的服务条款禁止用户尝试“直接或间接地从任何数据集中推导出个人身份”。


Asiag在给我们的电子邮件中提道:“您的实时消息显示,您或与您共享来自免费试用帐户的数据集的个人已使用这些数据来识别个人。如果这是数据的目的和在实践中的用途,我们要求停止此类处理并永久删除这些数据集的任何实例。”


Asiag 表示:“TSP 通常提供来自售后远程信息处理设备的数据,而不是直接来自汽车制造商内置在车辆中的调制解调器,TSP 已获得客户的批准才能共享这些数据。”


然而,根据《加利福尼亚消费者保护法》,该州的隐私法处理用户同意放弃数据和其他相关问题,Otonomo可能会面临如何处理同意及其数据的问题。


从事隐私保护的律师Calli Schroeder在一封电子邮件中告诉我们,Otonomo必须同意与其他方(根据他们目前的做法,似乎是任何人)出售/共享这些个人数据。他认为:“除非 Otonomo 在每一项协议中都特别列出,否则不会达到‘自由给予和明确’的同意门槛,特别是如果用户无法在不向Otonomo提供数据的情况下购买汽车。从本质上讲,他们在这里提出了很多同意声明,我不确定他们是否可以言行合一。此外,尚不清楚获得同意的义务是否适用于TSP等服务提供商。”


Schroeder还指出了Otonomo的选择退出机制的问题。按照Otonomo网站底部的“请勿出售我的个人数据”链接将访问者引导至他们必须选择所在地区的页面,然后要求他们创建一个帐户。


Schroeder说:“目前的理解是,你不能强迫用户创建一个帐户来行使他们的权利。也列出了一个隐私电子邮件,但不清楚用户是否真的可以通过这种方式行使他们的权利,或者是否还是像踢皮球一样回到原地。”


Privacy4Cars 的创始人Andrea Amico销售帮助经销商从车辆中删除数据的工具,他通过一封电子邮件告诉我们:“大多数消费者不知道,当他们购买、租赁或租用汽车时,他们无意中同意了他们的数据被收集并与第三方共享,甚至第三方的第三方等等。即使消费者们知道,汽车制造商也很少公开披露与他们共享个人数据的任何一方的个人姓名。”


Amico还说道:“因此,虽然世界各地的个人对其数据的权利越来越多,但汽车数据生态系统的极度模糊意味着驾驶员和车辆乘员在实践中行使这些权利时非常被动——因为他们不知道谁一开始就掌握他们的数据了!” 


代表Anna G. Eshoo在一份声明中告诉 我们:“这项调查的结果非常令人不安,充分说明需要加强隐私法规的建立。这就是为什么国会应该通过全面的隐私立法,来保护美国人免受他人恶意使用他们的数据,正如我在《网络隐私法》中提出的那样 。”


Asaig表示,Otonomo现在已经对公司网站上的免费帐户创建过程加大了审查把关的力度。Otonomo的网站的潜在用户只有在联系本公司,承诺不向任何人开放使用的前提下,才会有30天的免费使用期。


“Otonomo将进行进一步的内部审查并探索加强防止未经授权使用数据的方法。为此,在短期内,我们已从网站上删除了对免费试用版的直接访问权限,在事先审查程序上设置多个层次,通过分层来授予免费使用权限,只有被授予权限的用户才可以获取平台上的有限资源。”

文章和图片来源于网络

作者:Joseph Cox

本期编辑:ZHZ

如有侵权,请联系管理员删除


有更多内容在“情报学院”知识星球


知识来源: https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650482563&idx=1&sn=d3ad30c0a06fae43c92c0399b6a6a23d

阅读:90410 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“汽车位置数据似乎暴露了人们生活、工作和出行的地点”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码: