Adatbiztonsági szakértők derítették ki, hogy a Meta és az orosz Yandex is egy eddig ismeretlen trükkel kerülte ki az adatbiztonsági óvintézkedéseket és előírásokat - írja a Telex. A felhasználók hiába nyitottak inkognitó ablakot a kereséshez, a cégek mégis össze tudták kötni a böngészési adatokat a személlyel anélkül, hogy az bármit elfogadott volna erről.

A szakértők szerint a követési módszer több milliárd androidos felhasználót is érinthetett, de az eredmények nyilvánosságra kerülése után a cégek hirtelen leállították azt. Előtte viszont a Yandex nyolc évig, a Meta legalább kilenc hónapig használta, tehát elég komoly dologról van szó.

A módszer lényege, hogy a két cég alkalmazásai csendben figyelték a háttérből a felhasználók aktivitását a saját, rengeteg weboldalba beépített szkriptjükkel.

Ezeknek a szkripteknek alapvetően nem az a feladatuk, hogy a beleegyezésük nélkül profilozzák a felhasználókat. A Meta Pixel nevű szkript például csak a látogatói aktivitást hivatott mérni, és ha valaki beépíti az oldalába, szélesebb képet kaphat például arról, hogy mennyire hatékonyan tereli az embereket egy bizonyos aloldalra. Az adatok szerint ez jelenleg körülbelül 60 millió weboldalba van beépítve.

A Meta viszont a háttérben futó alkalmazásaival kombinálva arra használta fel az androidos telefonokon, hogy a tudtuk nélkül összekösse az emberekkel a tevékenységüket, a következő módon:

• az ember fogta a telefonját, megnyitotta rajta a Facebookot vagy az Instagramot, pörgette kicsit a hírfolyamot, aztán elkezdett valami mással foglalkozni;
• a háttérben továbbra is futó alkalmazás megnyitott magának pár "ajtót", és elkezdte figyelni, hogy beérkezik-e rajtuk adat egy olyan honlapról, amelybe bele van építve a Meta Pixel;
• ha az illető felment egy ilyen oldalra, akkor a böngészője egy _fbp nevű, hivatalosan amúgy a böngészők azonosításához használt sütit küldött az alkalmazásba;
• és a Meta szervereire is, a meglátogatott honlap linkjével, a böngésző és az operációs rendszer típusával és a Pixel által alapjáraton nyomon követett eseményekkel (például hogy hova kattintottunk);
• aztán végül az alkalmazás küldött még egy adatcsomagot a szerverekre, amely gyakorlatilag összepárosította az információkat a felhasználókkal, így a folyamat végére a Meta pontosan tudta, hogy az eszközön valamelyik alkalmazásába bejelentkezett illető látogatta meg az adott honlapot.

A szakértők szerint viszont a módszer aggályokat vet fel, ugyanis feleslegessé tette a nyomkövetés kikerülésére tett összes próbálkozást.

Hiába használt valaki inkognitó módot, törölt sütiket vagy kapcsolta ki az összes követési engedélyt az androidos eszközén, a dolog ugyanúgy működött, csak az kellett hozzá, hogy az illető be legyen jelentkezve a Meta valamelyik alkalmazásába.

A dologban a Brave böngésző felhasználói egyáltalán nem voltak érintettek, a DuckDuckGo-t használók is csak minimálisan. Viszont a Firefox, a Chrome és az Edge is sebezhetővé vált. Arra, hogy iOS rendszeren is történt volna ilyesmi, nincs bizonyíték.

Az eredmények publikálását követően a Meta elvileg azonnal leállította az ilyen jellegű kérések és adatcsomagok küldését,

majd azt nyilatkozta, hogy "tárgyal a Google-lel egy potenciális félreértésről az irányelveik alkalmazásával kapcsolatban".

Jorge García Herrero adatvédelemmel foglalkozó spanyol ügyvéd azt javasolta, hogy példaértékű büntetést kellene kiszabni a Metára, ugyanis három EU-s jogszabályt, a digitális szolgáltatásokat szabályozó DSA-t, a digitális piacokra vonatkozó DMA-t és a GDPR adatvédelmi rendeletet is megsértette azzal, hogy a felhasználók beleegyezése nélkül gyűjtöttek olykor speciális, például szexuális irányultságra vagy politikai hovatartozásra vonatkozó adatokat, platformokon átívelően, reklámcélokra.

Az ügyvéd szerint ha az EU úgy ítéli meg, hogy a Meta mindhárom jogszabályt megsértette, úgy összesen akár 32 milliárd dolláros (11,2 ezermilliárd forintos) büntetést is kiszabhatna, ha minden esetben a maximumot alkalmazza.