Social media
Polska 2050: nikt nie weryfikował, czy Bosak i Wąsik zainstalowali aplikację Jaśmina
”Nikt nie przeprowadzał weryfikacji tego, kto zainstalował aplikację Jaśmina” – przekazał serwisowi CyberDefence24.pl Bartek Wejman z biura prasowego ugrupowania Polska 2050. Według niego lider PL2050 Szymon Hołownia w rozmowie z dziennikarzami Polsatu „użył skrótu myślowego”, mówiąc że program zainstalowali Krzysztof Bosak i Maciej Wąsik.
„Rzeczywiście, nie powinno się stosować takiej formy w rozmowie z dziennikarzem, ponieważ mogło to zostać odebrane jako dowód działań niezgodnych z zasadami korzystania z aplikacji oraz przepisami o ochronie danych osobowych” – wskazał Wejman.
Jak dodał, „najważniejsze pozostaje to, że nikt takiej weryfikacji nie przeprowadzał”.
W ubiegły piątek Szymon Hołownia podczas rozmowy ze stacją Polsat News powiedział, że aplikację społeczno-polityczną Jaśmina pobrało do tej pory ok. 20 tys. użytkowników, wśród nich – prawdopodobnie również wiceminister spraw wewnętrznych i administracji Maciej Wąsik oraz poseł Krzysztof Bosak (Konfederacja). „Musimy oczywiście sprawdzić, czy to ich prawdziwe konta” – dodał Hołownia.
Co to jest aplikacja Jaśmina?
Program zaprezentowany 4 września na pierwszym kongresie Polski 2050 nie powstał wcale na specjalne zamówienie ugrupowania, choć po hucznych zapowiedziach i budowaniu atmosfery mistycyzmu wokół „specjalnego gościa” wydarzenia, można tego właśnie było oczekiwać. W rzeczywistości Jaśmina to aplikacja eventowa Meeting Application, z której wcześniej korzystały m.in. takie koncerny, jak Samsung, Coca-Cola, Reebok i Shell.
Jak czytamy na stronie producenta Meeting Application (spółka o tej samej nazwie zarejestrowana we Wrocławiu), program pozwala w czasie rzeczywistym wyświetlać agendę spotkań i wydarzeń (np. konwentów czy targów), aktualności, wysyłać użytkownikom powiadomienia, a także umożliwiać networking.
Licencja na Meeting Application w wersji pozwalającej na obrandowanie jej logotypami podmiotu, który chce korzystać z aplikacji, zaczyna się od ceny 1,299 tys. dolarów, najdroższa wersja kosztuje jednak już 3,999 tys. dolarów.
Jakich uprawnień domaga się Jaśmina od swoich użytkowników?
Chcąc lepiej poznać działanie aplikacji Jaśmina i zrozumieć, dlaczego jest – zdaniem Szymona Hołowni i jego ugrupowania – tak istotna dla polskiej polityki, przeanalizowaliśmy dane, jakie program gromadzi o instalujących go na swoich telefonach użytkownikach.
Jaśmina w wersji na Androida
Aplikacja Polski 2050 w wersji na telefony z Androidem może zostać pobrana z oficjalnego sklepu z oprogramowaniem Play Store należącego do Google’a. Ze strony programu na tej platformie dystrybucji dowiadujemy się, że jego wydawcą jest Polska 2050.
Aplikacja we wszystkich wersjach do swojego działania domaga się uprawnień dostępu do:
- kalendarza (odczytu informacji o zapisanych wydarzeniach, w tym – o poufnych notatkach w kalendarzu, a także możliwości modyfikowania wpisów przez dodawanie wydarzeń i wysyłanie e-maili do innych uczestników bez wiedzy właściciela urządzenia)
- lokalizacji (na podstawie sieci: zgrubnej lokalizacji, na podstawie sygnału GPS – dokładnej lokalizacji)
- zdjęć, multimediów i plików (odczytu zawartości przestrzeni do przechowywania danych i możliwości modyfikacji jej zawartości)
- aparatu wideo (możliwości nagrywania wideo i robienia zdjęć)
- mikrofonu (możliwości nagrywania dźwięku)
- połączenia bezprzewodowego (informacje na temat sieci)
- szeregu innych funkcji, w tym m.in. pobierania danych z internetu, parowania urządzeń Bluetooth, zmiany ustawień audio, uruchamiania się przy starcie urządzenia, kontroli wibracji, a także odczytu ustawień usług Google’a.
Link do polityki prywatności zawarty na stronie aplikacji w Google Play nie odsyła jednak - jak można byłoby się spodziewać na podstawie nazwy wydawcy - do strony Polski 2050, lecz do polityki prywatności sformułowanej dla Meeting Application, o której wspomniano już wyżej.
Jaśmina w wersji na iOS (Apple)
Program przedstawiany przez Polskę 2050 jako gamechanger polskiej polityki w wersji na telefony z systemem operacyjnym iOS również dostępny jest na oficjalnej platformie dystrybucji oprogramowania (App Store). Tutaj jednak jego wydawcą nie jest Polska 2050, jak w przypadku wersji na Androida, a Michał Łaszkiewicz. Po kliknięciu w jego imię i nazwisko o programiście uzyskujemy informację, że w App Store nie ma więcej jego programów – jedynie Jaśmina. Krótka internetowa kwerenda pozwala dowiedzieć się, że Łaszkiewicz to starszy programista ASP NET w firmie CSHARK, w której pracuje od ponad trzech lat. Skończył Politechnikę Wrocławską.
W rozmowie z CyberDefence24.pl biuro prasowe Polski 2050 nie wskazało jednak Łaszkiewicza jako twórcy aplikacji, podało natomiast kontakt do szefa firmy Meeting Application – Adriana Czyczerskiego. Ten, mimo prośby ze strony redakcji o komentarz, do czasu publikacji tekstu nie nawiązał z nami kontaktu.
Jak Polska 2050 tłumaczy tę rozbieżność?
„Na dzień publikacji w sklepie App Store Fundacja nie posiadała własnego konta deweloperskiego w sklepie, dlatego aplikacja została opublikowana z indywidualnego konta deweloperskiego tak, aby była dostępna do pobrania 4 września” – przekazał Bartek Wejman. „Z uwagi na to, że proces weryfikacji aplikacji przez oba sklepy trwa do kilku dni przed jej udostępnieniem, Meeting Application jako zarejestrowany w obu sklepach deweloper zgłosił siebie jako administratora danych osobowych, ponieważ aplikacja opiera się na ogólnych, zweryfikowanych już przez oba sklepy zasadach przetwarzania danych przez Meeting Application” – wyjaśnił.
Jak dodał, „zmiana informacji o administratorze powinna już była nastąpić i zostanie wkrótce zaimplementowana”.
W wersji Jaśminy na iPhone polityka prywatności w App Store ponownie odsyła do strony Meeting Application. Na stronie programu dowiadujemy się, że Jaśmina gromadzi rozmaite dane, z których część wiązana jest z użytkownikiem, a część – nie. W pierwszej grupie znajdują się:
- dane kontaktowe
- dane użytkownika
- informacje o kontaktach w książce adresowej
- identyfikatory
W drugiej grupie natomiast znajdują się:
- dane o użyciu aplikacji
- dane diagnostyczne
Pytanie o to, jakie dane gromadzi Jaśmina, zadaliśmy również przedstawicielom Polski 2050.
Polska 2050 dowie się, z jakiego telefonu korzystasz, co cię interesuje i czy klikasz w reklamy
„Zbierane dane dotyczą użytej platformy, sklepu z którego pobrano aplikację, systemu operacyjnego i jego wersji, użytej przeglądarki, szerokości geograficznej, kontynentu, subkontynentu, regionu, kraju i miasta, w którym inicjowano aktywność aplikacji, marki, kategorii i modelu urządzenia, wieku w przedziałach 18-24, 25-34, 35-44, 45-54, 55-64, 65+, płci, zainteresowań, języka i wersji aplikacji” – przekazała CyberDefence24.pl Polska 2050, odpowiadając na pytanie o to, jakie dane zbiera Jaśmina.
Według biura prasowego ugrupowania, program wychwytuje też informację o usunięciu danych aplikacji i jej samej z urządzenia Android, informację o aktualizacji Jaśminy, o wyjątkach zatrzymujących jej działanie, a także o błędach, które „z jakiegoś powodu nie mogą trafić do logów”. Rejestrowane są również kliknięcia w linki odsyłające poza program, w tym – również do plików. Jaśmina ostatecznie loguje informacje o wyłączeniu powiadomień i o tym, z jakich ustawień tej funkcji korzysta użytkownik, o przewinięciu przez niego strony w aplikacji do dolnej granicy, a także o czasie korzystania z Jaśminy liczonym w milisekundach.
„Możliwe, ale niewykorzystywane jest zbieranie informacji o wyświetleniach i kliknięciach w reklamę, anulowaniu lub odnowieniu subskrypcji, zwrocie pieniędzy, zakupie dokonanym przez aplikację” – przekazali nam przedstawiciele biura prasowego Polski 2050.
Według Wejmana, gromadzenie tak rozległych i szczegółowych danych o użytkownikach jest niezbędne, aby realizować usługi o funkcjonalności newslettera za pośrednictwem aplikacji, prowadzić korespondencję elektroniczną (Polska 2050 zaznacza, że dane osobowe zawarte w tej korespondencji są przetwarzane wyłącznie w celu komunikacji i rozwiązania spraw, której ona dotyczy), a także szacować ryzyko i udoskonalać działalność Jaśminy. Przedstawiciel formacji w przesłanych CyberDefence24.pl odpowiedziach na pytania podkreślił, że "działanie programu mieści się w ramach Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO)".
Czy Jaśmina pozwalała podejrzeć e-maile innych użytkowników programu?
Zapytaliśmy biuro prasowe Polski 2050 o sprawę, którą na swoich łamach opisał serwis Niebezpiecznik. Jak poinformował, w aplikacji Jaśmina można było podejrzeć i masowo pobierać adresy e-mail użytkowników, którzy zarejestrowali w niej swoje konta. Aplikacja zwracała adresy e-mail w odpowiedzi na zapytania do API.
W rozmowie z Cyberdefence24 biuro prasowe Polski 2050 potwierdziło incydent. „Fragment kodu API wyszukiwarki >>ludzi, których możesz poznać<< dostępnej dla zarejestrowanych użytkowników, odpowiedzialny za filtrowanie danych zwracanych z modelu publicznych profili nie uwzględniał parametru show_contact_details=false
” – przekazał nam Wejman.
„Wstępna analiza wykazywała różne potencjalne przyczyny, jednak finalnie okazało się to błędem w programie. Po zrozumieniu problemu, działanie API wyszukiwania zostało naprawione”.
Do incydentu doszło, jednak nikt nie mówi o tym wprost. Na pytanie, czy w tej sprawie został powiadomiony właściwy organ, Polska 2050 odpowiedziała nam, że przetwarzanie danych osobowych zostało powierzone na podstawie umowy profesjonalnemu podmiotowi. „Wedle naszej wiedzy dokonał wszelkich niezbędnych analiz i wdrożył odpowiednie procedury, ponieważ ciążył na nim taki obowiązek”.
Jakie to procedury? Jakie analizy? Tego już się nie dowiedzieliśmy.
Panoptykon: Polska 2050 zostawiła sobie furtkę do wykorzystania danych o osobach, które zainstalowały Jaśminę
Prawniczka Fundacji Panoptykon Karolina Iwańska, komentując sprawę dla CyberDefence24.pl przypomniała, że „Jaśmina to pierwsza w Polsce aplikacja polityczna, która może wprost gromadzić dane o przekonaniach politycznych konkretnych osób”.
Jej zdaniem rodzi to wątpliwości dotyczące faktycznego celu gromadzenia tych danych i obawy o to, że mogą one zostać wykorzystane do kierowania do wyborców dobrze sprofilowanych reklam politycznych, czyli tzw. mikrotargetowania, np. na Facebooku.
„Z perspektywy reklamodawcy politycznego byłoby to banalnie proste: wystarczyłoby wgrać adresy e-mail użytkowników do narzędzia reklamowego Facebooka, a Facebook samodzielnie już połączy te maile z konkretnymi użytkownikami swojego serwisu i pokaże reklamę konkretnym osobom lub osobom, które są do nich podobne” – mówi Iwańska.
W jej ocenie polityka prywatności aplikacji pozostawia wiele do życzenia. „Po pierwsze, jako administrator danych został wskazany operator aplikacji, a nie Polska 2050. W polityce prywatności brakuje informacji o celach i konkretnych podstawach prawnych przetwarzania danych, czego wymaga prawo. Jednocześnie, znalazło się tam postanowienie, zgodnie z którym operator aplikacji może przekazywać organizatorom wydarzeń dane użytkowników w celach marketingowych” – zwraca uwagę Iwańska.
Jak podkreśla, „zapis ten sugeruje, że istotnie Polska 2050 zostawiła sobie furtkę do wykorzystania informacji o osobach, które zainstalowały Jaśminę – w tym ich dokładnej lokalizacji – do tego, by docierać do nich z przekazem wyborczym”.
Iwańska w rozmowie z CyberDefence24.pl zaznaczyła, że komunikaty polityków Polski 2050 i samej aplikacji w ogóle nie odnoszą się do tych kwestii. „Sprowadzają RODO do kwestii wycieku i zalecają ustawienie bezpiecznego hasła. Biorąc pod uwagę doświadczenia i wnioski płynące ze skandalu z udziałem Facebooka i Cambridge Analytica, wydaje mi się to niezwykle krótkowzroczne” – dodała ekspertka.
Przypomnijmy: firma Cambridge Analytica pozyskała niezgodnie z prawem dane (również te bardzo wrażliwe) 87 mln użytkowników Facebooka i wykorzystała je do celów marketingu politycznego, m.in. w kampanii prezydenckiej republikańskiego kandydata Donalda Trumpa w wyborach z 2016 roku.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.