Одним из революционных достижений автопрома последних 5-7 лет стало подключение каждого нового транспортного средства к Всемирной паутине. Адепты технического прогресса видели в этом новую ступень развития технологий, простые пользователи – забавную особенность. Позже, в 2021-ом, когда ряд брендов предложил своим пользователям платную подписку на часть функционала, это уже не выглядело так безобидно.
При этом баги в операционной системе электрокаров могли стремительно превратить транспортное средство в недвижимость, о чем мы рассказывали. Однако все сказанное выше – лишь верхушка айсберга, на дне которого лежит никем не контролируемый сбор персональных данных, с которыми, при желании операторов автобрендов, можно сделать абсолютно все…
Худший продукт для потребителей
Именно так классифицирует автомобили международная аналитическая компания Counterpoint Research, специализирующаяся на исследовании рынка потребительской электроники. Согласно ее отчетам, к 2030-му году 95% всех продаваемых на планете легковых автомобилей, вне зависимости от типа двигателя, будут оснащены встроенными средствами связи. По самым общим оценкам, такой шаг позволит автопроизводителям получать от $250 до $400 миллиардов (по иным данным – до $750 миллиардов) ежегодного дохода.
И речь здесь идет не только об агрессивном навязывании внутренних онлайн-сервисов по персонализации и удаленному управлению транспортным средством. Уже сейчас ключевые игроки рынка собирают данные о пользователях, чтобы без их ведома продавать, например, страховым компаниям. Это делает современные автомобили худшими продуктами с точки зрения защиты пользовательской конфиденциальности.
Дело здесь не только в обязательном сборе данных о диагностике автомобилей для предиктивного технического обслуживания и ради обеспечения безопасности в экстренных случаях. Это, к слову, сейчас одно из наиболее убедительных объяснений со стороны производителей, которые упирают на то, что собирают информацию о технических узлах и агрегатах на протяжении всего гарантийного срока авто, чтобы вовремя заметить возможную неполадку и инициировать отзывную кампанию, если это необходимо.
Однако независимые аналитические институты по всему миру все больше убеждаются в том, что сбор информации о пользователях давно вышел за рамки правового поля (по крайней мере, с точки зрения морали). К примеру, представитель известной европейской хакерской организации Chaos Computer Club сообщил немецкому новостному изданию Der Spiegel о легком взломе облачных сервисов Amazon, на которых хранились персональные данные более 800 тысяч пользователей электромобилей Volkswagen и других дочерних компаний этого концерна.
В результате последующего расследования была выявлена утечка, связанная с разработчиком программного обеспечения Cariad, включавшая в себя точное местоположение транспортных средств, временные метки включения и выключения автомобилей, а в некоторых случаях – даже контактные данные водителей, такие как электронные письма, номера телефонов и физические адреса.
Для автомобилей Volkswagen и Seat данные о местоположении были точными с точностью до 10 сантиметров, а для моделей Audi и Skoda точность их местоположения составляла около 10 километров. По данным Der Spiegel, такой уровень детализации мог позволить злоумышленникам отслеживать перемещения водителей, раскрывая конфиденциальную информацию, например, о том, когда они были дома, какие посещали места и государственные учреждения.
Любопытно, что взлом был обнаружен лишь после сообщения анонимного источника из Chaos Computer Club. В ответ на это разработчики Cariad отреагировали стремительно, устранив брешь в виртуальной защите и сообщив, что клиентам «не нужно предпринимать никаких действий», поскольку их пароли и платёжные реквизиты не были затронуты. При этом масштабы утечки вызвали критику в отношении обработки конфиденциальной информации пользователей. Сам Volkswagen официально комментировать инцидент отказался…
Политика приватности
Осенью 2023 года сообщество Mozilla, занимающееся созданием свободного программного обеспечения, протестировало 25 крупнейший автомобильных брендов, включая BMW, Ford, Kia, Toyota, Tesla, Subaru и Volkswagen, на предмет защиты конфиденциальной пользовательской информации. Результаты оказались неутешительными – практически все компании-участники провалили этот тест, поскольку ни одна из них не соответствует минимальным стандартам безопасности.
Так, производители уже сейчас собирают такие личные данные пользователей, как информация о сексуальной активности, иммиграционном статусе, расе, мимике, весе, состоянии здоровья и генетических данных, а также о популярных маршрутах каждого. Для этого используются датчики, микрофоны, камеры, а также смартфоны и другие устройства, с помощью которых водители подключаются к своим автомобилям. Конечно же, в стороне не остаются автомобильные приложения, веб-сайты компаний, дилерских центров и телематические системы транспортных средств. При этом бренды могут свободно делиться собранными данными с третьими лицами (включая брокеров, госучреждения и т.д.) и/или продавать их, а также составлять портрет каждого своего клиента на основе его интеллекта, способностей, личностных характеристик, предпочтений и многого другого.
Самым распространенным видом злоупотребления пользовательской информацией среди автобрендов пока является настройка таргетированной рекламы. Например, Volkswagen чаще всего использует данные о манере вождения конкретного человека, включая то, как он тормозит или пристегивается ремнем безопасности; в политике конфиденциальности Kia прописан пункт о сборе информации о «сексуальной жизни» клиента, хотя не говорится, как именно это делается; Mercedes-Benz и вовсе выпускает некоторые модели с предустановленным приложением TikTok. Наименее проблемными в Mozilla назвали автомобили Renault, так как этот бренд обязан соблюдать Общий регламент по защите данных (GDPR) – строгий закон, регулирующий использование, обработку и хранение персональных данных. Отметим, что исследование затронуло лишь пять регионов: Германию, США, Францию, Южную Корею и Японию.
Методы защиты
Таковых у современного автомобилиста, увы, немного – простого решения по защите личных границ и безопасности, в общем-то, нет. Начнем с того, что лишь мизерный процент всех автомобилистов на планете понимает, как именно работает современный автомобиль и какую вообще информацию он собирает о своем пользователе. Единственное, что еще возможно – это скрупулезно изучать пользовательские соглашения, политику конфиденциальности и сбора данных каждого конкретного производителя прежде, чем покупать транспортное средство.
И это одна из главных, наиболее проработанных ловушек сегодня. Большинство таких документов намеренно усложнены – у той же Toyota вся политика расписана на 12-ти страницах, а у иных брендов вроде Tesla отказ от сбора пользовательской информации отсутствует в принципе из-за крайне размытой внутренней политики. В BMW говорят, что позволяют своим клиентам удалять личные данные в приложениях, транспортных средствах или онлайн, но найти этот функционал зачастую крайне сложно, поскольку он «вшит» в скрытых настройках. Контактное лицо, с которым можно обсудить вопросы конфиденциальности, бывает и вовсе невозможно найти: ни в одной из 12-ти компаний, представляющих 20 автомобильных брендов, даже не ответили на электронные письма исследователей Mozilla.
При этом Subaru подразумевает получение «согласия» на сбор персональных данных, даже если человек является лишь пассажиром в автомобиле этой марки. Так, севший в машину посторонний человек автоматически считается пользователем, а значит, по умолчанию соглашается с его «политикой конфиденциальности». Некоторые автомобильные бренды даже осознанно перекладывают ответственность на водителя, отмечая, что именно он обязан информировать пассажиров о политике конфиденциальности автомобиля.
Политика той же Kia гласит, что бренд может обмениваться данными при многих сценариях, «если, по его добросовестному мнению, это потребуется или разрешено законом». Иными словами, порог сбора и обмена чрезвычайно конфиденциальной информацией сегодня крайне низок.
Добавим сюда еще и бытовой момент – отказ от предустановленных в авто сервисов и настроек может привести к тому, что машина просто может перестать работать. Сдерживающий фактор со стороны государственных регуляторов либо не соответствует должному уровню, либо отсутствует вовсе. А значит, мы управляем автомобилем лишь номинально; фактически он управляет нами, ежеминутно отслеживая наши действия и собирая другую информацию о частной жизни. На этом фоне архаичные машины с ДВС и простым функционалом уже не кажутся такими нелепыми и смешными, правда?