Nowa funkcja mapy na Instagramie - czy zagraża Twojej prywatności?

Przeczytaj także: 8 wskazówek dla użytkowników TikToka

Kiedy Instagram po cichu wprowadził nową funkcję „Friend Map” („Mapa znajomych”), została ona przedstawiona jako świetny sposób na zobaczenie, gdzie znajdują się nasi znajomi oraz na odkrywanie miejsc wspólnych spotkań. Jednak premiera funkcji wywołała od razu obawy – i to z całkiem uzasadnionych powodów. Udostępnianie lokalizacji to nie tylko kwestia wygody, ale także zaufania, bezpieczeństwa i kontroli nad własnymi danymi osobowymi – uważa Amit Wigman z zespołu eksperckiego CTO Check Point Software Technologies.

Choć Meta zapewnia, że funkcja jest dobrowolna (opt-in), to jej włączenie może prowadzić do znacznie większych konsekwencji niż tylko spontaniczne spotkania. Zaciera ona granicę między zagrożeniami dla prywatności w sieci a bezpieczeństwem fizycznym, narażając użytkowników na ataki ukierunkowane, stalking czy niechciane profilowanie. Konstrukcja tej funkcji, w połączeniu z presją społeczną, jaka towarzyszy korzystaniu z Instagrama, sprawia, że nawet ostrożni użytkownicy mogą ujawniać więcej informacji o swoich zwyczajach i przemieszczaniu się, niż początkowo zamierzali.

O danych słów kilka

Po włączeniu funkcji Instagram Map rejestruje dwa główne typy danych o lokalizacji:

• Logi lokalizacji wyzwalane przez aplikację – ostatnia lokalizacja zapisywana jest przy każdym otwarciu lub ponownym uruchomieniu aplikacji.
• Dane lokalizacji oparte na treściach – wszystkie Reels, Stories lub posty w feedzie oznaczone lokalizacją są indeksowane i powiązywane z Twoim profilem.

Te wpisy tworzą historię przemieszczania się z oznaczeniem czasu, nawet jeśli nie jest to ciągłe śledzenie GPS. Powtarzające się meldunki w tych samych miejscach pozwalają z dużą dokładnością wywnioskować adres domowy i miejsca pracy, trasy podróży oraz często odwiedzane punkty – zauważa ekspert Check Pointa.

Dane przechowywane są centralnie na serwerach Meta – w tej samej infrastrukturze, z której korzystają Instagram, Facebook, Messenger i inne usługi. Firma nie określa, jak długo przechowuje te informacje, używając ogólnego sformułowania „tak długo, jak to konieczne” na potrzeby świadczenia usług, analiz, zgodności z prawem i celów komercyjnych. W odróżnieniu od usług lokalizacyjnych, w których priorytetem jest bezpieczeństwo, dane te nie są szyfrowane metodą end-to-end, co oznacza, że dostęp do nich mogą mieć systemy Meta, a potencjalnie także jej pracownicy. Centralizacja tych informacji czyni je również atrakcyjnym celem dla cyberprzestępców. W przypadku naruszenia bezpieczeństwa mogą oni przechwycić nie tylko loginy i hasła, ale też szczegółową mapę miejsc, w których przebywali użytkownicy.

Ponieważ Instagram jest częścią większego ekosystemu reklamowego Meta, dane te mogą być powiązane z szerszym profilem zachowań użytkownika. Umożliwia to wyjątkowo precyzyjne targetowanie reklam – np. dotarcie do osób, które w tygodniu odwiedzają określoną siłownię albo w sobotnie poranki bywają w konkretnej kawiarni. Jednak ta sama precyzja może posłużyć do działań złośliwych.

Podwójne zagrożenie: ryzyko fizyczne i cyfrowe

Ryzyka związane z udostępnianiem lokalizacji można podzielić na dwie kategorie – i problem w tym, że mogą się one przenikać.

Od strony fizycznej, ujawnienie miejsca pobytu może umożliwić stalking, nękanie czy niechciane spotkania. Napastnik, który odkryje Twój codzienny dojazd, ulubiony bar czy trasę joggingu, może zaplanować bezpośredni kontakt. Przestępcy wykorzystywali też oznaczenia lokalizacji w mediach społecznościowych, by ustalić, kiedy ktoś jest poza domem – i czy w tym czasie dokonać włamania. W przypadku nieletnich ryzyko jest jeszcze większe – ujawnione lokalizacje mogą ułatwić namierzenie i zbliżenie się do dziecka.

Od strony cyfrowej, dane o lokalizacji stają się narzędziem profilowania. Platforma reklamowa Meta może łączyć je z historią przeglądania, zakupami i danymi demograficznymi, aby tworzyć bardzo szczegółowe segmenty odbiorców. Może to służyć nie tylko reklamom, ale też kampaniom dezinformacyjnym, oszustwom czy phishingowi, wykorzystującym znajomość zwyczajów do zdobycia zaufania.

Instagram vs. Snapchat i Apple Find My

Na pierwszy rzut oka Instagram Friend Map może wydawać się podobny do Apple Find My czy Snapchat Snap Map, ale różnią się one znacząco.

• Apple Find My stosuje pełne szyfrowanie end-to-end – lokalizacja jest zaszyfrowana na urządzeniu nadawcy i może być odszyfrowana tylko na urządzeniu odbiorcy. Apple nie ma dostępu do tych danych. Funkcja służy bezpieczeństwu i odzyskiwaniu urządzeń, a nie celom społecznym czy reklamowym.
• Snapchat Snap Map jest opcjonalny, ale miał udokumentowane przypadki nadużyć – nawet tryb Ghost Mode nie zawsze chronił użytkowników przed namierzeniem.
• Instagram Friend Map różni się tym, że łączy dane lokalizacyjne z całym ekosystemem Meta, działa w ramach platformy napędzanej reklamami i posiada komercyjną motywację do gromadzenia i analizowania danych. Meta w ostatnich miesiącach doświadczyła też kilku dużych wycieków danych, co czyni ją atrakcyjnym celem dla cyberprzestępców.

Mapa znajomych czy mapa zagrożeń?

Z punktu widzenia bezpieczeństwa, funkcja ta szybko wzbudziła zainteresowanie cyberprzestępców. Już po kilku dniach od premiery na forach pojawiły się dyskusje o możliwości odwrócenia inżynierii API, aby poznać szczegóły przechowywania i przesyłania danych. Pojawiły się też rozmowy o masowym scrapowaniu danych lokalizacyjnych i łączeniu ich z informacjami z innych źródeł w celu identyfikacji osób.

Takie metody nie są nowe – były stosowane m.in. w głośnych przypadkach ujawnienia lokalizacji przez Snapchata, włamań związanych z geotagami na Instagramie i Facebooku czy w wycieku map aktywności Strava, który ujawnił lokalizacje baz wojskowych.

Jak zmniejszyć ryzyko?

Amit Wigman z Check Pointa sugeruje kilka działań zaradczych. Po pierwsze, wyłączenie udostępniania lokalizacji: Wiadomości → Mapa → Ustawienia → Udostępnianie lokalizacji → „Nikt”. Po drugie, ograniczenie uprawnień aplikacji: w ustawieniach prywatności telefonu ustaw dostęp do lokalizacji dla Instagrama na „Podczas używania aplikacji” lub wyłącz go całkowicie. I w końcu, przeglądanie listy obserwujących: usuwaj osoby, których nie znasz lub którym nie ufasz w realnym życiu.
Dodatkowy zabezpieczeniem będzie wyłącznie doraźnego udostępniania: jeśli włączasz lokalizację w konkretnym celu, wyłącz ją zaraz po, aby uniknąć tworzenia długoterminowej historii lokalizacji.