Uber no quiere que veas este documento que muestra cómo vigila todos los datos de sus usuarios

Imagen de Jim Cooke

Las operaciones de Uber, en expansión constante, se realizan en pulvínulo a dos grupos de información celosamente guardados: la que el superhombre mundial del servicio de transporte sabe de ti y, por otro banda, aquel tipo de información que preferiría que nunca te enterases que poseen.

Ambas categorías se han gastado en muestrario en la Corte Superior de California en San Francisco, adecuado a que Ward Spangenberg, un exinvestigador forense de Uber, ha demandado a la compañía por despido caprichoso. El caso, archivado en mayo del año pasado, ha expuesto ciertos secretos Uber. Esta demanda de Spangenberd llegó a tener una significativa cobertura mediática, mayormente sensacionalista, adecuado a su alegato de que los empleados de la compañía accedían inapropiadamente a la pulvínulo de datos para rastrear personas o espiar celebridades como Beyoncé.

En medio de exhaustivas investigaciones frente a la posibilidad de potenciales violaciones a la privacidad, Uber desestimó aquellas acusaciones manifestando que sus empleados tienen comunicación sólo a datos necesarios para hace sus trabajos, y que todo el comunicación a su data está protegido y es auditado constantemente.

La demanda, sin bloqueo, permitió vislumbrar los mecanismos ocultos detrás de la interacción diaria de Uber con sus clientes a través de su pulvínulo de datos corporativa. En octubre del año pasado —y antiguamente de que Uber prohibiese legalmente el carácter divulgado de esta información—, durante dos días fue posible ver en ringlera las presentaciones de Spangenberd, lo que incluía una hoja de cálculo con más de 500 celdas con información que Uber rastrea de cada uno de sus clientes.

Un vistazo de la prueba A

El documento, presentado para respaldar la demanda de Spangenberg sobre el vasto repositorio de información al que los empleados de Uber podían conseguir, parecía extraído directamente del sistema. Mostraba abultadas categorías de nombres como “tiene-viaje-permitido-bajo-riesgo-etiqueta” (has_ride_allowed_low_risk_tag), e incluso Spangenberg presentó como ejemplo la data que Uber tenía almacenada sobre él.

La casi infinita cascada de información pone en evidencia el inmenso y granular esfuerzo de Uber por registrar toda su interacción con sus clientes: registra no solo cuándo has creado tu cuenta, sino dónde estuviste al hacerlo —en el caso de Spangenberg, en una oficina en Battery Street en el centro de San Francisco—, cuánto tardaste en solicitar tu primer servicio con Uber luego de crearla, cuánto tiempo lleva activa tu cuenta… y así hasta el más milimétrico detalle.

Puedes inquirir las etiquetas adjuntas a tu cuenta de Uber aquí. Intenta algunas como “gps” o “greyball”.

_date_start_end

_offset

_src

accept_language

account_age_in_days

account_age_in_seconds

account_credit_promotion_count

action_codes

action_reasons

action_reasons_for_bypass_rules

actions

La hoja de cálculo además menciona un número de programas que se ejecutan internamente en Uber para fines inescrutables. (Por cierto, si sabes de qué va cualquiera de ellos, ponte en contacto con nosotros). Entre los datos existen 10 campos diferentes cuyo nombre contiene la ritual “greyball”, que coincide con el nombre de un software informático utilizado en marzo de este año para “engañar a las autoridades del mundo”, según reveló el New York Times. Una vez que una cuenta haya sido etiquetada con “greyball”, es usada, según el patrón de seguridad de Uber, el oficial Joe Sullivan, “para ocultar en la app la vista estándar de la ciudad a determinados pasajeros, permitiendo a Uber mostrar una versión diferente” de la app.

Uber argumenta que el “greyballing” puede ser usado para propósitos inocuos como cursar publicidad a usuarios específicos, pero en algunos lugares como Portland, Oregon, por un breve periodo durante 2014 Uber etiquetó como “greyball” las cuentas de los policías de la ciudad para impedir que atrapen a los conductores de UberX que estuviesen quebrantando las leyes locales por prestar ese servicio. El Departamento de Justicia actualmente está investigando este uso.

“Los orígenes [del Greyball] pretendían evitar el abuso, pero otros equipos han encontrado valor en ello”, dijo la portavoz de Uber, Melanie Ensign.

Otros nombres en esencia usados en el interior en las 500 etiquetas para las cuentas de usuarios incluyen palabras como “Guardian”, “Sentinel score” y “Honeypot”. Uber, por su parte, rechazó explicar la naturaleza de estas etiquetas, pero Ensign dijo que el esquema Guardian “es usado para detectar falsificación, como la descrita en esta historia publicada por Bloomberg el 2015”. El artículo detalla los desafíos de Uber en China, en donde los conductores crearon falsos servicios para estafar a la compañía.

Los abogados de Uber consiguieron que esta documentación deje de ser pública, argumentando que contenía “información confidencial, patentada y privada… cuya sola existencia, contenido y forma son de extrema sensibilidad competitiva para la parte acusada, ya que demuestra qué data [Uber] considera suficientemente importante de capturar”. Ellos agregaron que esta información “se refiere a nombres en clave confidenciales y patentados del software, base de datos y sistemas desarrollados por Uber de manera interna”.

La hoja de cálculo ciertamente afirma que Uber tiene comunicación a mucha información privada. Es un recordatorio dinámico de la extrema desproporcionalidad que existe entre usuarios —que están interesados sólo en ser llevados del punto A al punto B— y las máquinas que los rastrean. El sistema automatizado de Uber reúne progresivamente pequeños y aparentemente insignificantes detalles, material aburridísimo que fácilmente podría caer en el olvido.

Al ser consultada sobre exhibición del manejo de datos de Uber, la portavoz de seguridad de la empresa, Melanie Ensign, explicó que este es “un catálogo de señales usadas por nuestro sistema de aprendizaje automático para detectar comportamiento potencialmente fraudulento o cuentas comprometidas”. A pesar del tamaño vistoso de la pulvínulo de datos, Ensign describió el material como uno basado en un pequeño conjunto de cosas que están “esbozadas en nuestros términos de contrato” con el cliente.

“Todas esas señales son derivados de la dirección IP, información de pago, información del dispositivo, ubicación, e-mail, número de móvil e historial de la cuenta”, dijo Ensign.

Lo que resulta asombroso es que Uber pueda hacer tanto solo con siete celdas de información.

Por ejemplo, los usuarios dan a Uber comunicación a su ubicación e información de suscripción, luego esa información es desmenuzada por la compañía de innumerables maneras. Esta guardián archivos con información como puntos cuáles son los puntos GPS de los viajes que realizas con decano frecuencia; cuánto has pagado por el servicio; qué método de suscripción utilizaste; cuánto has pagado la semana pasada; cuándo fue la última vez que cancelaste un delirio; cuántas veces has cancelado en los últimos 5 minutos, 10 minutos, 30 minutos y 300 minutos; cuántas veces has cambiado tu plástico de crédito; qué dirección de e-mail utilizaste para registrarte o si alguna vez has cambiado tu dirección electrónica.

Algunas de las etiquetas parecen emitir juicios dados a usuarios de Uber, como el nefasto “suspected_clique_rider” (“pasajero_sospechoso_pandilla”) y “potential_rider_driver_collusion” (“potencial_enfrentamiento_pasajero_conductor”).

Un objetivo esencia de toda esta vigilancia es identificar y reaccionar frente a usuarios atípicos como defraudadores, abusadores —o, como el escándalo Greyball reveló, un gobierno regulador que trataba de observar cómo trabaja Uber—. No obstante, en el pasado, la compañía se ha gastado en problemas cuando ve como “usuarios atípicos” a aquellos que se interponen en su camino, incluso si tienen buenas razones para ello.

Además de los nombres en código en el documento —Guardian, Sentinel y Honeypot— existen campos llamados “in_fraud_geofence” (“en_fraude_geovalla”) y “in_fraud_geofence_pickup” (“recoger_en_fraude_geovalla”). El geovallado (geofencing en inglés) es una técnica para envolver digitalmente un radio determinada. Ensign dice que estas etiquetas podrían estilarse para, por ejemplo, marcar a usuarios que intenten utilizar incorrectamente un código de promoción. Por ejemplo, si hubiese un código promocional para tomar un Uber a un evento deportivo, el geovallado podría ayudar a detectar a algún intentando usar el mismo código para un propósito diferente, explicó Ensign.

Esto evoca dos reportes del New York Times acerca de Uber y el geovallado. El primero, publicado en marzo, sostenía que Uber rastreó qué cuentas accedían desde edificios gubernamentales (lo que permitía aprender si el beneficiario formaba de una agencia ministerial tratando de rastrear a Uber). El otro reporte es de abril, mes en que Uber geovalló la sede de Apple para que la app funcionara de guisa diferente para los empleados de Apple para evitar que los ellos descubran que Uber estaba “espiando” Iphones (a través de la técnica conocida como “fingerprinting”).

Esa forma de espionaje permitió a Uber seguir rastreando a los usuarios incluso luego de que borrasen el contenido de sus móviles. Esta destreza constituía una violación a las reglas de privacidad que estipula Apple para los desarrolladores de apps. Desafortunadamente, Uber no pudo geovallar la dirección de casa de cada empleado de Apple, y aquellos que trabajaban fuera de Cupertino descubrieron estas prácticas, lo que llevó a Tim Cook, CEO de Apple, a dar una sonora reprimenda al CEO de Uber, Travis Kalanick, en 2015.

La hoja de cálculo ofrece información de primera mano sobre cómo el sistema de etiquetado de Uber puede ser usado no solo para prevención del fraude, sino para presentar diferentes versiones de la app a usuarios distintos en sitios diferentes.

Le preguntamos a Rob Graham, un asesor de seguridad en Errata Security, quien suele trabajar con extensas bases de datos, para revisar los documentos y especular sobre por qué Uber estaba tan preocupada por la exposición pública.

“Estoy seguro de que esto beneficiará mucho a Lyft [competencia directa de Uber]. Ellos entenderán el contexto de esta información”, dijo por e-mail. “Asimismo, ayudará a sus adversarios, los haters de Uber en el mundo (yo soy un Uber lover), quienes podrán usar estos campos de información para descubrir exactamente cómo el célebre ‘Greyballing’ funciona”.

Cuando se le preguntó a Lyft si había gastado o se había presbítero del documento, un portavoz se negó a hacer comentarios al respecto.

Uber no es el único superhombre de la tecnología en usar sistemas de estudios instintivo para intentar crear detalladísimos perfiles de sus usuarios y encontrar qué actividad y usuarios destacan como atípicos. Sin bloqueo, Uber tiene un historial de mal uso de su sistema de vigilancia. Abriles a espaldas, empleó su sistema de rastreo de pasajeros, llamado “Gold View”, como un truco de fiesta, y luego lo usó para rastrear a un periodista que reportaba periódicamente sobre la compañía. Usó la utensilio antiabuso Greyball para trastornar a los reguladores gubernamentales. Actualmente, Uber ha sido demandado por los conductores adecuado a un software llamado Hell, que puede rastrear sus movimientos a través de un hack de la app Lyft para acechar qué conductores estaban trabajando para ambas compañías.

Los programas codificados y cientos de etiquetas en la hoja de cálculo ofrecidos por Spangenberg sugieren que podría deber formas aún desconocidas en que Uber esté aprovechando de guisa agresiva la información con la que cuenta. Si algún familiarizado con estas etiquetas puede arrojar luces sobre insospechadas formas en que puedan estar siendo utilizadas, o tiene alguna preocupación concreta, envíenos una nota.


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales