Mediat saivat mitä tilasivat: nyt tietosuojavaltuutettu Facebook-ajojahdissa
Toimittajat herätys! Markkinoija tietää uusien auton ostajien iän!

"Facebook korjasi urkkivat evästeet" - nyt voimme nukkua yömme rauhassa!

Facebook-evästekohu, osa 3...
Tapahtunut tähän asti:
Osa 1: Facebook "jää kiinni" siitä, että se käyttää evästeitä, eikä poista niitä, vaikka käyttäjä kirjautuisi ulos palvelusta
Osa 2: Tietosuojavaltuutettu puuttuu tarmokkaasti asiaan

Nyt tulee siis osa 3, tarinan onnellinen loppu:

"Facebook korjasi urkkivat evästeet"


Tietosuojavaltuutettu Reijo Aarnio voi olla tyytyväinen toimintaansa. Heti kun hän tuomitsi Helsingin Sanomien haastattelussa Facebookin toiminnan, Facebook muutti evästepolitiikkaansa. Aarnio oli "erityisen huolestunut tiedosta, jonka mukaan Facebook on seurannut käyttäjiään senkin jälkeen, kun he ovat kirjautuneet ulos palvelusta". Nyt mm. Tietokone uutisoi, että "Facebook korjasi urkkivat evästeet". No, tosin Facebook oli tämän tehnyt jo useita päiviä ennen Hesarin lauantaina 1.10. julkaisemaa juttua, kun tuo Tietokoneen uutinenkin on päivätty jo 29.9....

 

Mutta nyt voi kansa taas nukkua yönsä rauhassa, ja media levätä. Ennen seuraavaa kohulööppiä Facebookista, johon arvatenkin ei mene kauan.

Mikä asia tässä muuten nyt korjaantui? Katsotaanpas taas, mistä oli kyse.

Kuka "urkkiii"?

Kohu lähti siitä, että vaikka aktiivinen Facebook-käyttäjä kirjautui ulos palvelusta, hänen siirtyessään verkkosivuille, joissa oli Facebook-toiminnallisuuksia, ne edelleen kertoivat mitä "kaverisi suosittelivat" kyseisessä verkkopalvelussa. Mistä se FB siis tietää, ketkä ovat minun kaverini, kun se näyttää siellä minun omien kavereitteni suositukset?

Aivan, tähän näköjään tarvittiin australialainen hakkeri päättelemään että herranjestas, tuo verkkopalveluhan lähettää minun Facebook-evästeeni avulla Facebook-tunnistetietoni palveluun, josta se palauttaa sitten ko. verkkomediaan tiedon, mitä artikkeleita tai uutisia juuri minun kaverini ovat suositelleet. Tämähän on nyt aivan julkeata, koska olen nimenomaisesti loggautunut Facebookista ulos!

Eli tämä hakkeri pystyi päättelemään, ja omalta koneeltaan tutkimaan, että siellähän ne Facebookin evästeet ovat edelleen minun koneeni evästekansiossa, vaikka olen kirjautunut palvelusta ulos.

Miten yleistä sitten on, että verkkopalvelu tai verkkomedia tuhoaa kaikki evästeensä, kun kirjaudut ulos palvelusta? Eipä tule nyt sellaista tapausta mieleen, vaan lähtökohtaisesti palvelut tallentavat paitsi sessio-kohtaisia evästeitä, myös pysyviä evästeitä, jotka ovat yleensä voimassa vuosia. Katselin omaa evästekansiotani juuri, ja sieltä löytyivät mm. seuraavien yhtiöiden evästeet, vaikka olin Veikkaus.fi:n sivuilla:

- Aamulehti
- A-lehdet
- Aktia-pankki
- Amazon (yksi per maa)
- BBC UK
- Alma Media
- Finnair
- Fonecta
- Google (useita erilaisia)
- Guardian
- Helsingin Sanomat
- Ilkka.fi
- Ilta-Sanomat
- Iltalehti
- ITviikko
- Kaleva
- Kauppalehti
- Konversio.fi, oma blogisivuni
- Luottokunta
- Markkinointi & Mainonta
- Microsoft
- MikroPC
- MTV3
- Nordea
- Petteri Järvisen blogisivu (pjarvinen.blogspot.com)
- Sanoma Magazines
- Talouselama
- Talous-Sanomat
- Yle
- YouTube

Noniin, you get the picture... Eli näin evästeet todellakin aivan normaalisti tallentuvat käyttäjän kiintolevylle evästekansioon, eivätkä ne poistu sieltä kun kävijä siirtyy pois sivustolta, tai "kirjautuu ulos" vaikkapa verkkopankista. Kuinka moni YLIPÄÄNSÄ "kirjautuu ulos" Facebookista, kun poistuu sieltä? Kuinka moni edes tietää, miten sieltä kirjaudutaan ulos? Ja se olennaisin pointti: miksi ihmeessä sieltä pitäisi kirjautua ulos, kun poistuu palvelusta?

Mikä muuttui, kun "Facebook korjasi urkkivat evästeet"?

Tuon aussi-hakkerin logiikan mukaisesti siis joka kerran, kun vierailemme Facebookista, pitäisi meidän poistuessamme palvelusta kirjautua sieltä ulos ("log out"). Jos todella toimimme näin, niin sitten kun siirrymme vaikkapa Ilta-Sanomien sivuille, jossa on "Facebook yhteisöliitännäinen", joka normaalisti näyttää, mitä Ilta-Sanomien juttuja minä ja Facebook-kaverini ovat jakaneet toisilleen tai suositelleet, kertookin nyt - ks. kuva alla - KIRJAUDU SISÄÄN - You need to be logged into Facebook to see your friends' recent activity.

Is_facebook2 

Nythän tämä tosiaan on EU-tietosuojatavoitteiden ja tietosuojavaltuutetun toiveiden mukainen, eli käyttäjä itse omalla klikkauksellaan tai sisäänkirjoittautumisellaan päättää, haluaako nähdä kavereidensa suosituksia Facebookin ulkopuolisella sivustolla, joka on ottanut Facebook-toiminnallisuuksia sivuilleen.

Entä mikä ei muuttunut?

Tästä eteenpäin blogia ei kannata lukea sitten niiden, jotka näkevät painajaisia Internetissä tapahtuvasta "urkinnasta", joksi toimittajat ovat siis alkaneet kutsua normaaleja ja automaattisia toimintoja Internetissä.

Sillä vaikka nyt Facebook "korjasi urkkivat evästeet", kuten Tietokoneen toimittaja asian ilmaisi, niin seuraaviin asioihin ei tullut mitään muutosta:

- Ilta-Sanomat lähettää edelleen etusivultaan yli 20 kolmannen osapuolen evästettä
- Tietokone.fi lähettää Facebookin urkinta-uutissivulta yli 20 kolmannen osapuolen evästettä
- MikroPC.fi lähettää Facebook-kohu-uutissivultaan (otsikotu "Yksityisyytesi on vaarassa: Facebook tietää mitä teet, vaikka kirjautuisit ulos") 10 kolmannen osapuolen evästettä

Ja niin edelleen, arvannette että nuo eivät ole mitään poikkeuksia, vaan siis aivan normaali käytäntö mainosrahoitteisissa verkkomedioissa, verkkokaupoissa ja verkkopankeissa.

Lopuksi sitten se kauhu-uutinen kaikille paranoideille. Vaikka Facebook nyt muutti evästekäytäntönsä ja toimii aivan kuten tietosuojavaltuutettu toivoi, niin mikään ei muutu siinä, että Facebook saa edelleen tiedon jokaisesta sivusta, jonka lataat verkossa, jossa on Facebook-toiminnallisuuksia. Tai jos klikkaat missä tahansa verkkopalvelussa linkkiä, joka vie Facebookiin, saa Facebook myös tiedon, mistä palvelusta siirryit Facebookiin. Nämä asiat kun eivät mitenkään liity evästeisiin, vaan siihen, että kun mikä tahansa verkkosivu liittää sivuilleen Facebook-linkkejä tai -toiminnallisuuksia ("Suosittele", yhteisöliitännäinen yms.), niin jokaisella sivulatauksella lähtee kutsu myös Facebookille, ja kutsun mukana mm. IP-numerosi. Ja tätä asiaa Facebook EI VOI ESTÄÄ itsekään. 

Teoreettinen kertyvän datan väärinkäytön mahdollisuus on toki paljon suurempi palveluilla, joille kertyy sitä lokidataa suuremmasta sivustojoukosta kuin niille, jotka keräävät sitä lokidataa vain omasta palvelustaan. Mutta mitä ne voisivat tehdä toisin? Eivät juuri mitään, muuta kuin luvata, että "emme käytä tietojasi väärin". Jos tähän ei luota, kannattaa pysytellä poissa Internetistä kokonaan.

- Ismo Tenkanen

Kommentit

Feed You can follow this conversation by subscribing to the comment feed for this post.

Tämän kirjoituksen kommentit ovat suljetut.