Роскачество изучило 12 популярных приложений-календарей для женщин. Целью исследования было изучение того, насколько надёжно эти приложения хранят пользовательские данные.
Все приложения имели от 1 млн скачиваний, что говорит об их популярности, тем важнее было исследование. Выяснилось, что среди всех изученных продуктов были такие, которые запрашивали доступ не только к календарю, но и к личной информации, включающей логины в аккаунтах, систему мониторинга физической активности и идентификаторы устройства. Данные передаются в аналитические компании для рекламы, которую с большой вероятностью пользователи увидят в своём профиле.
Больше всего разрешений и доступов требует самое популярное приложение Flo Ovulation & Period Tracker. Кроме прочих разрешений оно запрашивает доступ к просмотру фото и видео, истории действий, идентификатору вызовов и смс пользовательниц. Как отметил старший специалист Центра цифровой экспертизы Роскачества по исследованию цифровых продуктов Сергей Кузьменко, такими признаками, как правило, обладают шпионские, или сталкерские приложения.
Оказалось, приложение «WomanLog календарь месячных» передаёт все персональные данные в полном объёме третьим лицам, но не обладает российской юрисдикцией. К тому же половина продуктов считывают идентификаторы пользователей: наименование, ИНН, а ещё половина никак не сообщает в пользовательском соглашении о возможности сбора такой информации.
Только одно приложение — «Календарь овуляции: Ледитаймер» — хранит персональные данные своих пользовательниц на территории России и в своей политике ссылается на российское законодательство. Во всех других приложениях указано законодательство зарубежных стран, поэтому оно будет иметь преимущество перед российским.
Приложения, к которым появились вопросы, никак не указывают свою ответственность за сбор такой чувствительной информации, как менструальный цикл, и подобных данных. То есть в случае утечки данных, близких к медицинским, невозможно будет установить ответственного, чтобы направить претензию в адрес продукта.
«Если информация из женского календаря будет слита станет известно, что у женщины была задержка, сбился цикл или случился незащищённый половой контакт. Теоретически такие данные можно продать сторонним медицинским организациям и торговым компаниям для настройки соответствующей рекламы с предложением услуг и товаров по теме. Однако все эти данные будут идти в обезличенном — статистическом виде. Конечно, возможно получится по связке логин-данные вычислить владелицу, но это весьма сложная в реализации схема, тем более для рекламной рассылки», — рассказал Кузьменко.