Life360, una popolare app per la sicurezza della famiglia utilizzata da 33 milioni di persone in tutto il mondo, è stata commercializzata come un ottimo modo per i genitori di monitorare i movimenti dei propri figli utilizzando i loro cellulari. The Markup ha appreso, tuttavia, che l’app sta vendendo dati sulla posizione di bambini e famiglie a circa una dozzina di broker di dati che hanno venduto dati a praticamente chiunque voglia acquistarli.
Attraverso interviste con due ex dipendenti dell’azienda, insieme a due persone che in precedenza hanno lavorato presso i broker di dati di localizzazione Cuebiq e X-Mode, The Markup ha scoperto che l’app funge da pompa antincendio di dati per un’industria controversa che ha operato nell’ombra con poche garanzie per prevenire l’uso improprio di queste informazioni sensibili. Gli ex dipendenti hanno parlato con The Markup a condizione che non usiamo i loro nomi, poiché sono tutti ancora impiegati nel settore dei dati. Hanno affermato di aver accettato di parlare a causa delle preoccupazioni relative alla sicurezza e alla privacy del settore dei dati sulla posizione e al desiderio di far luce sull’opaca economia dei dati sulla posizione. Tutti hanno descritto Life360 come una delle maggiori fonti di dati per il settore.
“Non abbiamo mezzi per confermare o negare l’accuratezza” del fatto che Life360 sia tra le maggiori fonti di dati per il settore, ha affermato il fondatore e CEO di Life360 Chris Hulls in una risposta via e-mail alle domande di The Markup. “Vediamo i dati come una parte importante del nostro modello di business che ci consente di mantenere gratuiti i servizi principali di Life360 per la maggior parte dei nostri utenti, comprese le funzionalità che hanno migliorato la sicurezza del conducente e salvato numerose vite”.
Un ex ingegnere di X-Mode ha affermato che i dati grezzi sulla posizione che l’azienda ha ricevuto da Life360 erano tra le offerte più preziose di X-Mode a causa del volume e della precisione dei dati. Un ex dipendente di Cuebiq ha scherzato sul fatto che l’azienda non sarebbe stata in grado di eseguire le sue campagne di marketing senza il flusso costante di dati sulla posizione di Life360.
The Markup è stato in grado di confermare con un ex dipendente di Life360 e un ex dipendente di X-Mode che X-Mode, oltre a Cuebiq e Allstate’s Arity, che la società divulga nella sua politica sulla privacy, è tra le società a cui Life360 vende i dati . L’ex dipendente di Life360 ci ha anche detto che Safegraph era tra gli acquirenti, il che è stato confermato da un’e-mail di un dirigente di Life360 che è stata visualizzata da The Markup. Ci sono potenzialmente più aziende che beneficiano dei dati di Life360 basati sui clienti di quei partner.
Hulls ha rifiutato di rivelare un elenco completo dei clienti dati di Life360 e ha rifiutato di confermare che Safegraph è tra loro, citando clausole di riservatezza, che secondo lui sono nella maggior parte dei suoi contratti commerciali. I partner di dati vengono divulgati pubblicamente solo quando i partner richiedono trasparenza o c’è “un motivo particolare per farlo”, ha affermato Hulls. Ha confermato che X-Mode acquista dati da Life360 e che è uno di “circa una dozzina di partner di dati”. Hulls ha aggiunto che la società sosterrà la legislazione che richiederà la divulgazione pubblica di tali partner.
X-Mode, SafeGraph e Cuebiq sono note società di dati sulla posizione che forniscono dati e approfondimenti raccolti da tali dati ad altri attori del settore, nonché a clienti come hedge fund o aziende che si occupano di pubblicità mirata.
Il portavoce di Cuebiq, Bill Daddi, ha dichiarato in una e-mail che la società non vende dati grezzi sulla posizione, ma fornisce accesso a un insieme aggregato di dati attraverso il suo strumento “Workbench” ai clienti, inclusi i Centers for Disease Control and Prevention . Cuebiq, che riceve dati grezzi sulla posizione da Life360, ha pubblicamente divulgato la sua partnership con il CDC per tenere traccia delle “tendenze della mobilità” relative alla pandemia di COVID-19.
“Il CDC esporta solo analisi aggregate e sicure per la privacy a scopo di ricerca, che anonimizzano completamente i dati dei singoli utenti”, ha affermato Daddi. “Cuebiq non vende dati alle forze dell’ordine né fornisce feed di dati grezzi a partner governativi (a differenza di altri, come X-Mode e SafeGraph).”
X-Mode ha venduto i dati sulla posizione al Dipartimento della Difesa degli Stati Uniti e SafeGraph ha venduto i dati sulla posizione al CDC, secondo i registri pubblici.
X-Mode e SafeGraph non hanno risposto alle richieste di commento.
L’amministratore delegato di Life360 ha affermato che la società ha implementato una politica per vietare la vendita o la commercializzazione dei dati di Life360 a qualsiasi agenzia governativa da utilizzare a fini di applicazione della legge nel 2020, sebbene la società venda dati almeno dal 2016.
“Da un punto di vista filosofico, non crediamo sia appropriato per le agenzie governative tentare di ottenere dati nel mercato commerciale come un modo per aggirare il diritto di un individuo a un giusto processo”, ha affermato Hulls.
Le famiglie probabilmente non apprezzerebbero lo slogan: “Puoi guardare dove sono i tuoi figli, e anche chiunque acquisti queste informazioni può farlo”.
La politica si applica anche a tutte le aziende con cui i clienti di Life360 condividono i dati, ha affermato. Hulls ha affermato che la società mantiene “un dialogo aperto e continuo” con i suoi clienti per garantire che rispettino la politica, anche se ha riconosciuto che è stata una sfida monitorare le attività dei partner.
Life360 rivela nella stampa fine della sua politica sulla privacy che vende i dati che raccoglie dagli utenti delle app, ma Justin Sherman, un collega di politica informatica presso il Duke Tech Policy Lab, ha affermato che le persone probabilmente non sono consapevoli di quanto lontano possano viaggiare i loro dati.
La politica sulla privacy della società osserva che Life360 “può anche condividere le tue informazioni con terze parti in una forma che non ti identifica ragionevolmente direttamente. Queste terze parti possono utilizzare le informazioni rese anonime per qualsiasi scopo”.
“Probabilmente alle famiglie non piacerebbe lo slogan, ‘Puoi guardare dove sono i tuoi figli, e così può farlo chiunque acquisti queste informazioni'”, ha detto Sherman.
Due ex dipendenti di Life360 hanno anche detto a The Markup che la società, sebbene affermi di rendere anonimi i dati che vende, non prende le precauzioni necessarie per garantire che le cronologie delle posizioni non possano essere ricondotte a individui. Hanno affermato che mentre la società rimuoveva le informazioni identificative più ovvie dell’utente, non faceva sforzi per ” fuzz “, ” hash “, aggregare o ridurre la precisione dei dati sulla posizione per preservare la privacy.
Hulls ha affermato che tutti i contratti di Life360 vietano ai suoi clienti di identificare nuovamente i singoli utenti, insieme ad altre pratiche di protezione della privacy e della sicurezza. Ha affermato che Life360 segue le “migliori pratiche del settore” per la privacy e che solo alcuni clienti come Cuebiq ricevono dati sulla posizione non elaborati. L’ex ingegnere X-Mode ha affermato che la società ha anche ricevuto dati grezzi da Life360. La società fa affidamento sui propri clienti per offuscare quei dati in base alle loro applicazioni specifiche, ha aggiunto Hulls.
Lavori presso Life360, X-Mode o qualsiasi altra azienda che acquista o vende dati sulla posizione? Vorremmo parlare con te. Puoi contattare in modo sicuro Signal al numero 646-355-8306 o inviare un’e -mail a keegan@themarkup.org .
“Alcuni dei nostri partner di dati ricevono dati con hash e altri non si basano su come verranno utilizzati i dati”, ha affermato il fondatore di Life360.
Nel frattempo, i dati sulla posizione di vendita sono diventati sempre più centrali per la salute dell’azienda, che fatica a raggiungere la redditività. Nel 2016, la società ha guadagnato $ 693.000 dalla vendita dei dati raccolti. Nel 2020, la società ha guadagnato $ 16 milioni, quasi il 20% delle sue entrate quell’anno, dalla vendita di dati sulla posizione, più altri $ 6 milioni dalla sua partnership con Arity.
Pur registrando ancora una perdita di $ 16,3 milioni l’anno scorso , l’azienda sta espandendo la propria attività per includere altri prodotti di “sicurezza digitale”, lanciando avvisi di violazione dei dati, monitoraggio del credito e funzionalità di protezione dal furto di identità. Quotato pubblicamente all’Australian Securities Exchange con l’intenzione di diventare pubblico negli Stati Uniti, Life360 ha anche acquisito società che espandono il suo monitoraggio e potenzialmente la sua capacità di raccolta dati. Nel 2019, la società ha acquistato ZenScreen , un’app di monitoraggio del tempo dello schermo per la famiglia. E ad aprile ha acquistato la società di dispositivi di localizzazione indossabile Jiobit, volta a tracciare bambini più piccoli, animali domestici e anziani, per 37 milioni di dollari. Hulls ha affermato che Life360 non ha intenzione di vendere dati dai dispositivi Jiobit o dai suoi servizi di sicurezza digitale.
Il 22 novembre, Life360 ha anche annunciato l’intenzione di acquistare Tile , una società di dispositivi di localizzazione che aiuta a trovare gli oggetti smarriti. Hulls ha affermato che la società non ha intenzione di vendere dati dai dispositivi Tile.
“Sono sicuro che ci sono molte famiglie che trovano un vero conforto in un’applicazione come questa, e questo è valido”, ha detto Sherman. “Ciò non significa che non ci siano modi in cui altre persone vengono danneggiate da questi dati. Inoltre, non significa che la famiglia non possa essere danneggiata con i dati in modi di cui non è a conoscenza, come i dati sulla posizione utilizzati per indirizzare gli annunci [o] utilizzati dalle compagnie assicurative per capire dove si trovano” viaggiare e aumentare le loro tariffe.”
Hulls ha affermato che Life360 non condivide le informazioni private degli utenti con gli assicuratori in modi che potrebbero influire sui tassi di assicurazione.
La pipeline dei dati
L’app di Life360 consente all’utente di vedere la posizione precisa e in tempo reale di amici o familiari, inclusa la velocità con cui stanno guidando e il livello della batteria sui propri dispositivi.
Commercializzata come un’app di sicurezza, Life360 è popolare tra i genitori che desiderano monitorare e supervisionare i propri figli da lontano. L’app offre gran parte delle funzionalità delle funzionalità di condivisione della posizione integrate di Apple, ma include funzionalità di sicurezza di emergenza come un pulsante SOS e il rilevamento di incidenti stradali. La società afferma che queste funzionalità hanno salvato vite .
Ma le funzionalità basate sulla posizione di Life360 sono anche fonti di punti dati per un settore in crescita multimiliardario che commercia i dati sulla posizione raccolti dai telefoni cellulari. Gli inserzionisti, le agenzie governative e gli investitori sono disposti a spendere centinaia di migliaia di dollari per i dati sulla posizione e le informazioni che possono derivarne.
Sebbene i bambini possano utilizzare l’app (con il consenso dei genitori), la politica di Life360 afferma che la società non vende dati su utenti di età inferiore ai 13 anni. La regola di protezione della privacy online dei bambini (meglio nota come “COPPA”) crea restrizioni sui servizi digitali utilizzati da bambini sotto i 13 anni e Life360 ha metodi di rilevamento come la richiesta di una scansione dell’ID di un genitore per gli utenti minorenni. Life360 “rivela” le informazioni dei bambini più piccoli a terze parti “secondo la necessità di analizzare e rilevare i dati sul comportamento di guida, eseguire analisi o altro, [sic] supportare le caratteristiche e le funzionalità del nostro Servizio”, secondo la sua politica sulla privacy, ma non “per finalità di marketing o pubblicitarie”.
Gli esperti di marketing utilizzano i dati sulla posizione per indirizzare gli annunci a persone vicine alle attività commerciali, mentre gli investitori acquistano dati per determinare la popolarità in base al traffico pedonale. Le agenzie governative hanno acquistato i dati sulla posizione per tracciare i modelli di movimento e, in un caso, per supportare i ” requisiti di missione delle forze per le operazioni speciali all’estero “.
“Sembra che l’azienda stia indicando un paio di casi in cui, certo, hanno aiutato qualcuno, sono stati in grado di fare qualcosa di buono”, ha detto Sherman. “Ma poi non parleranno di tutti gli altri casi in cui l’acquisto e la vendita di questi dati è potenzialmente molto dannoso”.
A luglio, un prete cattolico di alto rango si è dimesso dopo che un’agenzia di stampa cattolica lo ha divulgato utilizzando i dati sulla posizione dell’app di incontri gay Grindr collegata al suo dispositivo. I dati sono stati ottenuti da un venditore sconosciuto e il rapporto affermava di mostrare che il prete frequentava i bar gay. Non ci sono indicazioni che Life360 sia stato coinvolto in questo incidente.
Grindr, come altre app che alimentano i dati in questo settore , è tenuto a chiedere i permessi di localizzazione quando un utente apre l’app per la prima volta.
“Non siamo a conoscenza di alcun caso in cui i nostri dati siano stati ricondotti a persone tramite i nostri partner di dati”, ha affermato Hulls. “Inoltre, i nostri contratti contengono un linguaggio che vieta specificamente qualsiasi reidentificazione e intraprenderemo azioni aggressive contro qualsiasi violazione di questo termine”.
Nel caso di Life360, a causa del funzionamento dell’app, richiede le autorizzazioni di localizzazione più ampie possibili per scopi funzionali. Molte app che utilizzano i dati sulla posizione consentono agli utenti di concedere l’accesso solo mentre sono in uso. Poiché Life360 consente di monitorare la posizione in tempo reale, l’app richiede sempre i dati sulla posizione e non funziona a meno che tale autorizzazione non sia attivata.
Nella parte inferiore della schermata delle autorizzazioni viene visualizzato un disclaimer in caratteri più piccoli: “I dati sulla posizione possono essere condivisi con i partner ai fini del rilevamento degli arresti anomali, della ricerca, dell’analisi, dell’attribuzione e della pubblicità personalizzata”. Gli utenti possono disabilitare la vendita dei propri dati sulla posizione nelle impostazioni sulla privacy, anche se tale impostazione non viene divulgata all’interno o parte della richiesta.
Hulls di Life360 ha affermato che milioni di suoi utenti hanno utilizzato questa funzione per disattivare la vendita dei propri dati.
Come disabilitare la vendita dei dati sulla posizione nell’app Life360
- Tocca l’icona a forma di ingranaggio per “Impostazioni”
- Tocca “Privacy e sicurezza”
- Tocca “Non vendere le mie informazioni personali”
- Sposta il pulsante accanto a “Vendite di informazioni personali” in posizione off
Per coloro che non hanno rinunciato, i loro dati Life360 possono essere condivisi con i partner dell’azienda entro 20 minuti dalla registrazione, ha affermato un ex dipendente di Life360.
Hulls ha affermato che questa descrizione era “direzionalmente accurata”, affermando che si applicava solo a determinati partner e casi d’uso.
“Ad esempio, alcuni casi d’uso, come il rilevamento del traffico stradale, che alimenta le stime del tempo di viaggio nei sistemi di navigazione automobilistica e nelle app GPS, richiedono dati molto aggiornati”, ha affermato.
I ricercatori sulla privacy e gli operatori di app store spesso cercano il codice dei broker di dati nelle app per i segni di un’app che invia dati a terzi. Ma Life360 raccoglie i suoi dati direttamente dall’app e li fornisce ai broker di dati attraverso i propri server.
Gli app store di Apple e Google non hanno modo di rilevare questo trasferimento di dati sulla posizione a terzi. “Ha senso inviare questi dati direttamente dal lato server dal fornitore dell’app in modo che non possano mai essere rintracciati o osservati da nessuno”, ha affermato Wolfie Christl, un ricercatore che si occupa di tracciamento digitale.
Hulls ha affermato che il metodo di Life360 di fornire dati tramite i propri server non è stato uno sforzo intenzionale per eludere il rilevamento da parte di ricercatori e app store.
“Questo è completamente estraneo. Abbiamo la nostra tecnologia di sensori proprietaria, che abbiamo iniziato a costruire nel 2008 molto prima dell’emergere dell’industria dei dati, ed evitiamo di utilizzare SDK che potrebbero avere un impatto negativo sulla batteria o altre interazioni con la nostra tecnologia di sensori”, ha affermato.
Google non ha commentato il motivo per cui Life360 è stata in grado di vendere dati in questo modo nonostante la sua politica contro la vendita di dati sulla posizione . Il portavoce di Apple Adam Dema ha risposto con un link alla politica sulla privacy di Life360, ma non ha commentato le vendite di dati dell’azienda ad aziende come SafeGraph e X-Mode.
Hulls ha affermato che Life360 anonimizza i dati che vende, che possono includere l’ID pubblicità mobile di un dispositivo, l’indirizzo IP e le coordinate di latitudine e longitudine raccolte dall’app di Life360.
Hulls ha chiarito che la “de-identificazione” comporta la rimozione di nomi utente, e-mail, numeri di telefono e altri tipi di informazioni utente identificabili prima che i dati vengano condivisi con i clienti di Life360. I dati venduti includono ancora l’ID pubblicità mobile di un dispositivo e le coordinate di latitudine e longitudine.
Anche senza nomi o numeri di telefono, i ricercatori hanno ripetutamente dimostrato come i dati sulla posizione “anonimizzati” possano essere facilmente collegati alle persone da cui provengono.
E gli esperti di privacy fanno notare che gli ID pubblicità mobile sono più preziosi degli identificatori come i nomi.
“Questo codice può essere utilizzato per tracciare e seguirti in molte situazioni della vita”, ha detto Christl. “In quanto tale, è un identificatore molto migliore di un nome.”
Partner controversi
L’industria dei dati sulla posizione opera in gran parte fuori dalla vista del pubblico e con poca supervisione o regolamentazione. Alcuni dei partner di Life360 hanno affrontato controversie in passato su come gestiscono i dati e la privacy.
Nata nel 2013 come Drunk Mode, un’app nuova che “impedisce agli utenti di comporre numeri da ubriachi”, secondo quanto riferito X-Mode è stata bandita dai grandi app store dopo che la scheda madre di Vice ha riferito che l’azienda vendeva dati sulla posizione da app di preghiera musulmane come Muslim Pro agli Stati Uniti appaltatori governativi associati alla sicurezza nazionale, sollevando preoccupazioni sulla sorveglianza incostituzionale del governo.
I registri pubblici mostrano che X-Mode ha ricevuto almeno $ 423.000 dall’aeronautica statunitense e dalla Defense Intelligence Agency per i dati sulla posizione tra il 2019 e il 2020. La società ha anche venduto dati sugli americani in set profilati, come persone che erano conducenti o probabilmente facevano acquisti presso grandi magazzini, secondo Motherboard .
Ad agosto, X-Mode è stata acquistata dalla società di intelligence sulla proprietà intellettuale Digital Envoy e rinominata Outlogic.
In risposta al contraccolpo sulla vendita dei dati sulla posizione di X-Mode agli appaltatori della difesa, i suoi nuovi proprietari hanno affermato che la società avrebbe smesso di vendere i dati sulla posizione degli Stati Uniti a tali società.
“Non possiamo commentare le pratiche di un’altra società o cosa fa quella società con i dati che riceve da altre fonti”, ha affermato Hulls. “Tuttavia, Life360 ha lavorato a stretto contatto con X-Mode per garantire che X-Mode e tutti i suoi clienti di dati non vendano dati provenienti da Life360 alle forze dell’ordine o a qualsiasi agenzia governativa per essere utilizzati a fini di applicazione della legge”.
SafeGraph è una delle più grandi aziende nel settore dei dati sulla posizione e i suoi investitori includono il venture capitalist Peter Thiel; il principe Turki Al Faisal Al Saud, ex capo dell’intelligence saudita; e il chief business officer di Life360, Itamar Novick.
L’azienda è specializzata in dati che associano luoghi di interesse a coordinate grezze, aggiungendo uno strato di significato ai dati grezzi sulla posizione che l’azienda acquisisce. SafeGraph è stato identificato non solo come un cliente dei dati di Life360, ma anche come un importante partner in un’e-mail di un dirigente di Life360 che è stata visualizzata da The Markup.
Ad aprile, come riportato per la prima volta da Motherboard , SafeGraph ha ricevuto un contratto da 420.000 dollari per vendere dati ai Centers for Disease Control descritti come “Raccolta e segnalazione di dati”. Il Washington Post ha anche riferito che SafeGraph ha condiviso miliardi di record di localizzazione del telefono con il Dipartimento della salute di Washington attraverso la sua società spin-off Veraset.
La società vende apertamente dati sulla posizione sul mercato dati di Amazon , incluso un abbonamento annuale di $ 240.000 ai dati sulle persone negli Stati Uniti. Veraset si è vantata di vendere dati sulla posizione per scopi tra cui marketing, proprietà immobiliari, investimenti e pianificazione urbana.
Il senatore Ron Wyden ha segnalato SafeGraph come “broker di dati preoccupante” a Google, ha dichiarato in una e-mail il responsabile delle comunicazioni di Wyden, Keith Chu. Il democratico dell’Oregon ha fatto più tentativi per parlare con SafeGraph per saperne di più su come l’azienda ottiene, vende e condivide i dati sulla posizione degli americani, ma l’azienda non ha mai risposto, ha detto Chu.
Cuebiq ha anche lavorato con i Centers for Disease Control, con un contratto da $ 208.000 assegnato a giugno per i dati aggregati sulla posizione, secondo i registri pubblici .
Il CDC non ha risposto alle richieste di commento.
Durante l’inizio della pandemia di coronavirus, Cuebiq è diventata una delle principali fonti di dati sulla posizione per le agenzie di stampa che cercano di riferire sui movimenti delle persone dopo che città e stati hanno emesso ordini di soggiorno a casa. Punti vendita come il New York Times e la NBC News hanno ricevuto dati sulla posizione da Cuebiq per le loro analisi.
È stato suggerito che i broker di dati sulla posizione come Cuebiq stiano usando la pandemia per migliorare la loro reputazione pubblica presentandosi come strumenti per la salute pubblica piuttosto che come meccanismi di sorveglianza.
Daddi di Cuebiq ha affermato che i dati dell’azienda hanno aiutato a seguito di disastri naturali e crisi di salute pubblica.
Sicurezza contro Privacy
Life360 si è posizionato come “il principale marchio di sicurezza digitale per le famiglie”. Ma gli esperti dicono che le famiglie che lo usano non pensano necessariamente alla loro sicurezza digitale.
“Un’app che afferma di essere un servizio di sicurezza familiare che vende dati sulla posizione esatta a diverse altre società, questo è un disastro totale”, ha affermato Christl. “Sarebbe un problema se si trattasse di un’altra app, ed è ancora più un problema quando si tratta di un’app che pretende di essere un servizio di sicurezza per la famiglia”.
Un’app che afferma di essere un servizio di sicurezza familiare che vende dati sulla posizione esatta a diverse altre società, questo è un disastro totale”.
Life360 ha affrontato preoccupazioni per la privacy in passato. A metà del 2020, gli adolescenti, scontenti dell’invasione della privacy di un’app che consentiva ai loro genitori di monitorare minuziosamente i loro movimenti, si sono rivolti a TikTok per incoraggiare i loro coetanei a bombardare l’app con recensioni negative. Nel corso di un mese, l’app ha ricevuto più di un milione di recensioni a una stella, portando la valutazione media da 4,6 a 2,7 stelle.
Hulls ha risposto aggiungendo una funzione “bolle” che mostra ai genitori una posizione più vaga del loro bambino (ma consente comunque ai genitori di vedere le posizioni esatte con un passaggio aggiuntivo). Ha anche reclutato e pagato adolescenti per vendere l’app su TikTok, provocando un “aumento virale dei download”, secondo la società.
Quegli adolescenti, tuttavia, probabilmente non erano consapevoli del fatto che i loro genitori non erano certo gli unici a conoscenza dei dati sui loro movimenti.
Samira Madi, una studentessa di 18 anni in Texas, ha iniziato a utilizzare Life360 quando aveva 15 anni. Non ha avuto problemi con l’azienda che condivideva i suoi dati sulla posizione per scopi di marketing e pubblicità, che l’azienda ha prontamente divulgato.
Dopo aver appreso a chi Life360 stava vendendo i dati e la scala a cui sono stati venduti, Madi ha ritenuto che l’azienda avesse superato il limite.
“Non avevo idea che sarebbe passato in questo modo”, ha detto Madi in una e-mail. “Questo mi preoccupa perché non vorrei che i miei dati sulla posizione venissero venduti a persone con cattive intenzioni”.