在最高法院决定推翻 Roe v. Wade 案后,经期跟踪应用Stardust 飙升至美国 Apple App Store 的首位,该应用承诺将加密用户的私人数据以防止其落入政府手中.
但 TechCrunch 周一发现,目前正在蓬勃发展的 Stardust 应用程序的当前版本正在与第三方分析公司共享应用程序用户的电话号码,这可用于识别该应用程序的个人用户。
推翻罗伊的决定推翻了美国 50 年来对堕胎权的宪法保护,允许各个州制定法律将堕胎定为犯罪。该决定导致用户呼吁从手机中删除他们的经期跟踪应用程序,担心这些应用程序收集的数据可能会被用来证明堕胎是非法获得的。
由于该公司针对推翻 Roe 的决定发表了强有力的声明,其他人正在放弃他们当前的经期追踪器并转向 Stardust 等应用程序。Stardust 表示将实施端到端加密,因此它将“无法将您的任何经期跟踪数据”交给政府,从而在本周末发布之前帮助吸引数十万下载量。新的加密功能应用程序版本定于周三发布。
TechCrunch 周一对 Stardust 的 iPhone 应用程序进行了网络流量分析,以了解哪些数据流入和流出该应用程序。网络流量显示,如果用户使用电话号码登录应用程序(而不是通过Apple或Google提供的登录服务),Stardust 将定期与名为 Mixpanel 的第三方分析服务共享用户的电话号码。
Mixpanel 是一种分析服务,应用程序开发人员广泛使用它来跟踪应用程序的使用情况并帮助识别错误或改进应用程序的其他方法。它通过跟踪某人如何使用该应用程序并将数据发送回 Mixpanel 的服务器来做到这一点。Stardust 还与 Mixpanel 分享了有关安装该应用程序的手机、iPhone 型号和软件版本以及手机连接到哪个手机运营商的详细信息。
在网络流量分析期间,TechCrunch 没有看到与 Mixpanel 共享的健康数据。但是,如果与 Mixpanel 等第三方共享一个与特定用户的经期跟踪应用程序相关的电话号码,检察官可能会迫使 Mixpanel 交出这些数据——即使 Stardust 声称它不能。
Stardust 创始人 Rachel Moranis 告诉 TechCrunch,“Stardust 的当前(旧)版本利用了 Mixpanel 的几种数据收集机制,我们在新版本中禁用/删除了这些机制。除了不向 Mixpanel 发送 [个人身份信息] 之外,我们还为我们的用户禁用了 IP 跟踪,以防止元数据被用于识别我们的用户。”
Stardust在一条推文中表示,它正在“研究”一种允许用户匿名登录的方式。
Stardust 的隐私政策于 6 月 26 日更新,表明该应用程序没有像它声称的那样受到保护。它指出,该应用程序收集了有关用户设备、活动和位置的各种数据,包括通过 cookie 和其他跟踪技术。它还规定了一些关于数据共享的例外情况,指出它如何在用户同意或法律要求的情况下向某些提供商披露非个性化数据——如果它必须“遵守或回应执法或法律程序”或政府或其他实体的合作请求,无论法律是否要求。”
这似乎也与坚持公司永远不会与任何第三方分享用户的年龄或“与您的健康相关的任何数据”的政策部分相矛盾。
自从 Roe 被推翻以来,科技公司正准备迎接一个新的制度,在这种制度下,它们可能面临强制将与怀孕相关的用户数据移交给州当局和检察官的法律命令。一些最大的科技公司仍然没有说明他们将如何处理与寻求或提供堕胎的人有关的调查相关的数据需求。这促使人们急于寻找使用端到端加密的应用程序和服务,从而防止任何人——甚至是应用程序制造商——访问用户的数据。
根据应用情报公司Sensor Tower的数据,由于宣布将转向加密,Stardust 的应用程序在 6 月 24 日吸引了 135,000 次新安装,比前一天的安装量激增 4,400%,约为 3,000 次。.6 月 25 日星期六,该应用又获得了 20 万次安装,并从之前的第 119 位上升至美国 App Store 的第一名。这两个周末的总安装量占 Stardust 超过 40 万次的总安装量的 82% .
TechCrunch 向创始人询问了有关该应用程序如何实施端到端加密的更多信息。Stardust 创始人 Moranis 告诉 TechCrunch,“到我们服务器的所有流量都通过标准 SSL(托管在 AWS 上)和 AWS RDS 上的后续数据存储,利用其内置的 AES-256 加密实施。”尽管这描述了使用加密来保护传输过程中和存储在亚马逊服务器上的数据,但尚不清楚这种实施是否被视为真正的端到端加密。
鉴于其复杂性和所涉及的风险,实施端到端加密通常是一项时间和资源密集型工作,其中单个编码缺陷可能会破坏对用户数据的保护。对于使用端到端加密的公司来说,发布论文和技术说明来解释他们的系统是如何工作的——这对于一些公司来说甚至是一种自豪——甚至开源和发布他们的代码,作为加密证明他们的系统是安全的。
当被问及该公司是否对该应用程序的代码进行了第三方安全审计时,莫拉尼斯表示,该公司打算“在完成后与第三方审计一起全面发布我们的实施”,但没有给出时间表。(TechCrunch 将在审核结果出炉后跟进。)
在我们收到 Stardust 的消息后,该公司再次悄悄地更改了其隐私政策,删除了端到端加密的提及。
很难反驳人们的担忧——经期追踪应用行业已经被发现与第三方追踪和分析公司以及Facebook 和谷歌等科技巨头进行泄露数据共享的做法。去年,一款名为 Flo 的应用程序因违反其自己的隐私政策而不得不与美国联邦贸易委员会达成和解。除其他外,该应用程序错误地声称它只与第三方共享“非个人身份”信息——《华尔街日报》的一项调查证明这是不真实的。
另一款应用 Glow在前一年因暴露女性医疗信息而不得不与加利福尼亚州达成和解。
消费者报告在 5 月份表示,许多应用程序继续使用第三方跟踪器,并且不会将消费者的数据本地存储在无法共享或出售的设备上。
此外,经期跟踪应用程序不必遵守被称为《健康保险流通与责任法案》或 HIPAA 的联邦隐私法。
然而,由于面临失去整个用户群的威胁,许多经期追踪者发布声明以确保客户的数据安全。Flo 在 3 月份完成了独立的隐私审查,表示将“尽其所能”保护用户的数据和隐私。它还表示将推出一项新的“匿名模式”功能,从他们的 Flo 账户中删除用户的个人身份。
标签:
免责声明:本文由用户上传,如有侵权请联系本网删除!