Kombinacija pogreški u konfiguriranju i propusta u nadzoru omogućila je jednom od provjerenih Instagramovih oglašivačkih partnera neovlašteno korištenje ogromnih količina javno dostupnih podataka korisnika te društvene mreže, ali i stvaranje detaljnih zapisa o njihovim lokacijama, osobnim podacima i fotografijama koje su trebale nestati nakon 24 sata.

Podatke su zlorabili u marketinškoj tvrtci Hyp3r sa sjedištem u San Franciscu (Sjedinjene Države), izravno kršeći Instagramova pravila. Sve se događalo Instagramu pod nosom, pod okriljem tvrtke koja ima status preferiranog Facebookovog marketinškog partnera, tijekom protekle godine.

Iz Instagrama su Hyp3ru poslali nalog za obustavu aktivnosti nakon što su im iz Business Insidera predočili dokaze i potvrdili kako su njihova pravila doista prekršena. Ujedno su uklonjeni s te platforme, a u Instagramu tvrde kako su poduzeli mjere ne bi li spriječili ponavljanje ovakvih incidenata.

Sve dosad Instagram je bio koliko-toliko zaštićen od posljedica bure nastale nakon što se otkrilo kako su u tvrtci Cambridge Analytica zlorabili podatke Facebookovih korisnika. Ipak, čini se kako obilje korisničkih podataka kojim raspolažu u popularnoj društvenoj mreži bio previše zamaman mamac.

Zasad nije poznato s koliko su točno Instagramovih podataka raspolagali u Hyp3ru. Potvrđeno je tek kako su se hvalili time što raspolažu s 'jedinstvenim setom podataka stotina milijuna najvrijednijih potrošača na svijetu', od čega je 90 posto navodno stiglo s Instagrama. Prema izvorima Business Insidera, obrađuju više od milijun objava mjesečno.

Naravno, Hyp3r nije ni približno jedina tvrtka koja se bavi prikupljanjem javno dostupnih podataka s društvenih mreža. Što je onda sporno? Pa, to što se u Instagramu nisu baš pretrgli pri provjeri i nadzoru što se s tim podacima radi, ali niti zaštitili korisničke podatke kad su to mogli i trebali učiniti.

Nagrađivana tvrtka, privlačna investitorima

Tvrtka Hyp3r pokrenuta je 2015. godine. Opisuju se kao lokacijsku marketinšku platformu koja tvrtkama pomaže u pribavljanju geosocijalnih podataka kako bi došli do kupaca visoke vrijednosti.

Prikupili su desetke milijuna američkih dolara od investitora, uključujući i 17,3 milijuna dolara u rujnu prošle godine od Silicon Valley Bank, Thayer Ventures i drugih. Dobitnici su više nagrada (recimo Most Innovative Company časopisa Fast Company za ovu i prošlu godinu). Među klijentima su ima Marriott International, Pepsi, Hard Rock...

Prate objave na društvenim mrežama povezane s lokacijama u stvarnom svijetu te klijentima omogućuju izravnu interakciju s tim objavama pomoću alata kojima raspolažu i koriste prikupljene podatke za ciljano oglašavanje. Recimo, zbog toga što ste objavili selfie iz nekog hotela mogli biste dobiti ponude drugih hotela.

Podatke s Instagrama neovlašteno su koristili na tri ključna načina:

• zlorabeći sigurnosni propust mogli su otkriti pojedine lokacije (primjerice, teretane) i pokupiti sve javne objave s tih lokacija.
• Mimo znanja korisnika sustavno su trajno pohranjivali korisničke Stories objavljene na tim lokacijama, uključujući i pojedine fotografije, iako je to sadržaj koji bi trebao nestati nakon 24 sata.
• Prikupljali su masovno podatke s javnih korisničkih profila, uključujući biografije i pratitelje, što su kasnije kombinirali s drugim podacima. Koristili su ujedno i softver za prepoznavanje prikazanog na fotografijama.

Tako su dobili sofisticiranu bazu podataka o korisnicima Instagrama, onome što ih zanima, kamo se kreću i tome slično, što su prodavali svojim klijentima.

Između ostalog, prikupili su podatke s tisuća lokacija kao što su hoteli, kazina, kruzeri, zračne luke, fitness klubovi, stadioni, trgovine, bolnice, kafići, restorani... Prikupljene podatke moguće je kombinirati s podacima s drugih platformi (recimo, Salesforce ili Adobe) kako bi se dobili još detaljniji korisnički profili.

Nisu se skrivali - gdje je bio Instagram?

Nisu, koliko je ponato, pristupili podacima koji nisu javni, kao ni onima koji su bili označeni kao privatni.

Dio onog što su radili bilo je dozvoljeno prije izbijanja skandala s tvrtkom Cambridge Analytica. Ali, nakon što je Instagram uklonio niz značajki koje su razvojnim programerima omogućavale pristup lokacijskim i inim podacima, u Hyp3ru su počeli graditi sustav koji će zaobići nova ograničenja.

U Hyp3ru nisu skrivali što radi, pa se postavlja pitanje kako to da u Instagramu nisu primijetili što se događa i ranije reagirali. Tim više što, prema njihovim navodima, povremeno provjeravaju partnere kako bi bili sigurni da se pridržavaju pravila.

U Hyp3ru su zanijekali optužbe o kršenju Instagramovih pravila, tvrdeći kako su pristupali javno dostupnim podacima legitimno i opravdano. Vjeruju kako će uskoro postići dogovor s Instagramom.

Hoće li pravno odgovarati? Čini se kako se nisu ogriješili o zakone Sjedinjenih Država. Poslovna društvena mreža LinkedIn je prije dvije godine izgubila parnicu protiv tvrtke koja je s nje prikupljala javno dostupne podatke.