Источник: ain.ua
Почтовые программы-трекеры — те, что изучают, открыл ли письмо его адресат — не так невинны, как может показаться на первый взгляд.
Ведь из области маркетинга и рассылок они понемногу просачиваются в отношения между самими пользователями: супругами, друзьями, коллегами по работе. О невидимой угрозе трекеров пишет Wired.
«Только что наткнулся на ваше письмо», — так начиналось сообщение-ответ, которое я ждал довольно давно. Но я знал, что отправитель врет. Он открывал мое письмо около полугода назад. На «маке». В Пало-Альто. Ночью.
Я знал это, потому что пользовался сервисом отслеживания email под названием Streak, который уведомлял меня, как только мое письмо открывали. Он рассказывал мне, где, когда, и на каком устройстве мое письмо прочли.
Со включенным Streak я чувствовал себя, как инсайдер, глядя на «Входящие» и получая, возможно, слишком много информации. И я, конечно, в этом не одинок.
Каждый день пользователи отправляют и получают около 269 млрд электронных писем. Это, примерно, по 35 писем на человека, если брать все население Земли.
Около 40% этих писем отслеживаются, согласно прошлогоднему исследованию OMC, компании, которая занимается разработкой антитрекинговых инструментов.
Техническая часть довольно проста. Трекеры включают в тело письма строчку кода, обычно это — изображение размером пиксель на пиксель, такое маленькое, что его незаметно, также — в элементы вроде гиперссылок или кастомизированных шрифтов.
Когда получатель открывает письмо, трекер узнает, что пиксель был загружен, а также — на каком устройстве это произошло.
Новостные рассылки, маркетологи и рекламодатели использовали эту технику годами, чтобы собирать статистику по проценту открытых писем.
Крупные технологические компании вроде Facebook или Twitter последовали их примеру, чтобы лучше профилировать пользователей и предсказывать их поведение в онлайне.
Но прошло время и — удивительное дело — растущее число отслеживаемых писем отсылается не от корпораций, но от знакомых и коллег.
«Мы общались с пользователями, за письмами которым следили супруги, бизнес-партнеры, конкуренты. Это Дикий Запад» — говорит Флориан Серусси, основатель OMC.
Согласно данным OMC, 19% обычных «разговорных» email-переписок сейчас так проверяется. Это — одно из пяти писем, которые вы получаете от друзей. А вы, скорее всего, не замечали этого.
«Удивительно, но при всех объемах литературы по слежке в вебе, трекинг писем почти не изучен», — отмечалось в октябрьском исследовании ученых из Принстонского университета.
Это означает, что каждый день миллионы людей получают миллионы писем, при этом не давая согласия на то, чтобы доставка этих писем отслеживалась. И в результате, как считает Серусси, это может провоцировать серьезные риски.
Еще в середине 2000-х email-трекинг был практически неизвестен широкой публике. Затем, в 2006 году, один из первых трекинговых сервисов ReadNotify попал в центр внимания, когда в результате судебного иска оказалось, что HP использовала их продукт для отслеживания скандального письма, спровоцировавшего шумиху в прессе.
Простота и в то же время пронырливость тактики тогда показалась шоком, несмотря на то, что издания и специалисты по продажам давно использовали ее, чтобы собирать данные.
По словам Серусси, первопроходцем тут был Gmail — еще в те дни, когда во «Входящих» стали появляться рекламные ссылки, базирующиеся на данных от трекинга. Тогда это казалось нарушением приватности.
Сейчас об этом все знают, и относятся к этому нормально. Поступок Gmail стал своеобразным сигнальным огнем для рынка. Когда рекламодатели и маркетологи поняли, что смогут продавать таргетированную рекламу на основе данных трекинга, практика стала более популярной.
«Не знаю ни одной авторитетной команды по онлайн-продажам, которая бы не использовала трекинг открытия писем в той или иной форме. Думаю, переход всех пользователей на такие сервисы — только вопрос времени. Или же крупные email-провайдеры вообще заблокируют такую возможность» — считает Джон Генри Шерк, специалист по контент-маркетингу в Growth Plays.
Это отчасти связано со спамом. По словам исследователей спама из Bitdefender, компетентные спамеры будут пытаться отслеживать любую активность в почте пользователей — ведь они закупают целые списки адресов и будут пытаться исключить любые ловушки или неиспользуемые адреса.
Если пользователь кликнет по любой ссылке в спам-письме, спамер узнает, что адрес хотя бы используется, и скорее всего, будут слать туда еще больше спама.
Но маркетологи и спамеры уже не ответственны за большую часть трекинга. Сейчас этим занимаются крупные компании, вроде Amazon и Facebook.
«Когда Facebook посылает вам письмо, уведомляющее вас о новой активности по аккаунту, он открывает фоном приложение, благодаря которому Facebook знает, где вы, какое устройство используете, последнее фото, которое вы сделали — в общем, все» — говорит Серусси.
И Amazon, и Facebook помещают ссылки в письмах, которые могут запускать определенные функции их приложений, установленных на вашем устройстве.
В зависимости от разрешений, настроенных пользователям, они получают доступ ко всему, от местоположения до скрытых логов.
И даже если пользователь отключил доступ к местоположению, трекинг email может обойти этот запрет и все равно поставлять Facebook геолокацию.
Мне довелось познакомиться с миром email-трекинга в прошлом году, во время работы над книгой про iPhone и ту известную своей секретностью компанию, которая его производит.
Я обратился к Apple, чтобы запросить пару интервью, PR-команда казалась вежливой и предупредительной. Мы обменялись письмами.
Затем с их стороны наступило радиомолчание. Шли месяцы, накапливались мои неотвеченные письма. Я начал сомневаться в том, что их вообще кто-то читает.
Поэтому, следуя примеру другого журналиста, которого игнорировала Apple, я установил трекер Streak. Он бесплатный, установка занимает полминуты.
После чего я выслал еще одно письмо своему контакту в PR. Выскочило уведомление: мое письмо было открыто сразу же, в Куппертино, на iPhone. Затем его открыли еще раз, на iMac, и еще раз, и еще раз.
Мои письма не только читались, они еще и распространялись по компании. Это сводило с ума: смотреть, как серое окошко «Кто-то только что просмотрел «Об интервью для книги» выскакивает перед глазами снова и снова, а письмо остается без ответа.
Так что я решил обратиться к самой вершине. Если PR-команда читает мои письма, возможно, их прочтет и Тим Кук. Я написал Куку простанное письмо, перечисляя причины, по которым ему стоит дать мне интервью.
Когда я не получил ответа, то набросал коротенький фолоу-ап и включил Streak. Часы спустя получил сообщение: мое письмо было прочитано.
И любопытная деталь: его читали на Windows-десктопе. Возможно, случайность. Но спустя пару недель я выслал еще один фолоу-ап, и опять его прочли на компьютере на Windows.
Это казалось странным, так что я написал в Streak запрос о точности их сервиса, представившись журналистом.
В запутанной переписке с Эндрю из поддержки мне рассказали, что Streak очень аккуратен, но только если вы знаете, в каком часовом поясе или штате живет ваш лид, а вы — сейлз-менеджер.
Эндрю подчеркнул, что если журналист захочет отследить чье-то местоположение, сервис неточен.
Стало понятно, что перед Эндрю стоит задача, подобная задаче канатоходца: с одной стороны, заявлять, что сервис поставляет очень точные данные, но при этом — что он не шпионит.
Однако Эндрю все же признал, что определение устройства у Streak — довольно точное. Даже если речь — о СEO Apple.
Если Тим Кук секретно сидит на Windows или даже если аутсорсит обработку своей почты кому-то, кто сидит на Windows, это — отличный пример того, какие данные можно накопать с помощью трекера даже про самых известных персон.
Любой человек открывает письма, даже если не отвечает на них.
Если есть возможность узнать, где находится знаменитость (или любой человек), просто выслав им письмо — это угроза безопасности. Этим могут воспользоваться сталкеры, абьюзеры, даже воры.
«Во время выборов-2016 мы высылали письма с трекером сенаторам и претендентам в президенты, мы хотели знать: предпринимают ли что-либо по поводу трекинга? Конечно, ответ был: нет.
Мы обычно получали локацию их устройств, IP-адреса, можно было почти точно определить их расположение, вплоть до отеля», — говорит Серусси.
Можно даже изучить рабочее расписание, основываясь на времени, когда пользователь открывает письма, маршруты, интересы.
В социальных сетях можно собрать множество данных, основываясь на email, о работе и месте жительства пользователей — довольно просто объединить все эти данные.
Возможно, появятся новости о том, что кто-то вломился в дом после использования трекера, поскольку выяснил, что жильцов нет дома.
Есть еще одна причина для беспокойства: эти сервисы развиваются. Исследование, которое уже упоминалось, рассмотрело письма из рассылок от 14 000 самых популярных сайтов в мире и обнаружило, что 85% содержало трекеры, а 30% передавали адреса третьим лицам без согласия пользователей.
Так что, если вы подписываетесь на рассылку, даже от сайта, которому доверяете, в 1 из 3 случаев в письмах будут трекеры, которые будут передавать ваш адрес третьим лицам.
Ваши данные попадут к маркетинговым фирмам, дата-брокерам, просто потому что вы открыли письмо.
«Ваш адрес могут получить десятки третьих лиц. Почтовый адрес — это часть вашей личности онлайн, если вы делаете покупки или подписываетесь на сервис, все сегодня ассоциируется с почтой.
Дата-брокеры уже долгое время собирают информацию о пользователях с помощью веб-трекинга: особенностей браузинга, биографий пользователей, геолокации.
Если к этому добавить почту, время беспокоиться», — говорит Стивен Инглхардт, один из ученых-авторов исследования.
Учитывая риски распространения почтового трекинга, особенно удивляет то, насколько бесшумно это все произошло.
Сейчас за тем, прочли ли вы письмо и где это произошло, может следить ваша жена, ваш босс, ваш друг — а вы будете не в курсе.
После Крупного Инцидента с Трекингом Письма Тиму Куку я оставил Streak включенным.
Я нехотя признал, что он полезен. Иногда было нужно узнать, прочтено ли мое письмо и стоит ли продолжать подталкивать данный источник к ответу.
Но поскольку для рабочих нужд я использовал тот же Gmail-аккаунт, что и для личных целей, оказалось, что теперь я слежу за семьей и друзьями.
Так я увидел, как сильно трекинг нарушает хрупкие социальные нормы email-этикета.
Я видел, как близкие друзья читают мои письма и потом не отвечают целыми днями. Я видел каждую ложь насквозь (о том, что письмо не дошло, что застряло в спаме).
Иногда это конечно полезно, но в большинстве случаев это просто еще один слой данных и уведомлений в нашей жизни, которая и так преисполнена срочных сообщений. Я уже молчу о привкусе цифрового вуайеризма.
Конечно, это та ситуация, которой создатели трекеров хотели бы избежать. Они вели тихое существование в тенях, собирая полезные данные о продажах и проценте прочитанных писем, не вызывая подозрений.
Последнее, что им надо — чтобы их продукты воспринимались как нарушители приватности или шпионское ПО.
Конечно, это помещает их в неловкую позицию: чтобы выделяться среди множества подобных решений, трекеру надо позиционировать себя как исключительно точный и простой в пользовании сервис, и в то же время, создавать ощущение, что данные, которые он собирает — безвредны.
Даже больше — некоторые email-сервисы сами встраивают эту функцию, как, к примеру, Airmail в 2016 году. Скорее всего, будут расти и антитрекинговые сервисы. Их уже немало: Ugly Mail, PixelBlock, Senders. C их помощью я застал многих из знакомых и друзей за трекингом переписки со мной.
Но даже и эти методы не дают 100%-ной гарантии. Трекеры всегда совершенствуются. По словам Серусси, они обнаружили около 70 новых методов трекинга: с помощью цвета, шрифта, линков, пикселей.
Это — непрекращающаяся гонка вооружений. Самое простое решение того, как закрыть трекеру возможность передавать ваш адрес дальше — вообще заблокировать изображения в переписке.
Исследователи отмечают, что крупные компании должны были бы заняться этой проблемой. К примеру, Google мог бы добавить в Gmail уведомления об использовании трекеров.
«Посмотрите, как пользователи ополчились на Facebook за их рекламу. Они ненавидели Uber за то, что те купили данные о пользователях Lyft у Unroll.me. Многие пользователи просто не задумываются о том, как много данных отдают о себе» — говорит Шерк.
Если же Google и другие не займутся этим, проблема достаточно серьезна, чтобы вызвать внимание правительственных органов, считает Серусси.
Что же до меня, я устал от трекинга. После нескольких месяцев подобных инсайтов я уже не хотел знать, кто открыл мое письмо и не ответил на него. Не хотел напряженно ждать уведомления.
Не хотел чувствовать, что нарушаю хрупкие правила сетевого этикета. Мои полушпионские дни остались позади. Я отключил Streak, но оставил работать Senders. А скриншот про Windows Тима Кука оставил себе в качестве сувенира.
Самые актуальные новости - в 
