Aplikacja FaceApp pojawiła się nagle, ulegliśmy jej masowo wrzucając swoje zdjęcia do sieci, a teraz znów masowo boimy się, że udostępniliśmy dane rosyjskim służbom specjalnym. Czy tak to wygląda z pana perspektywy?

Marcin Maj: Od kilku dni trwa zbiorowe szaleństwo, w którym chwilami brakuje zdrowego rozsądku. Sama aplikacja powstała w 2017 r. A to, co widzimy, jest akcją marketingową, która świetnie wypaliła. Kilka dni temu marketingowcy FaceApp odpalili w USA kampanię reklamową pod nazwą #AgeChallenge i przez amerykańskiego Twittera przeszła lawina zdjęć. Media społecznościowe zostały zalane zdjęciami, a różni specjaliści poczuli się w obowiązku ocenić, czy zabawa jest bezpieczna.

Sprawę bada teraz ministerstwo cyfryzacji, a przedstawiciel resortu, Maciej Kawecki, pyta na Twitterze: "Czy naprawdę wiedza, jak będziemy wyglądać za 50 lat jest tak cenna, by sprzedawać za nią zasoby do wszystkich danych w telefonie!? Na to godzimy się ściągając FaceApp. Aplikacji z Rosji...".

Powiem tak: nie każdy rosyjski informatyk jest kumplem Putina. Z samego faktu, że autor aplikacji pochodzi z tego kraju nie musi wynikać realne zagrożenie. Wielu Rosjan pracuje w zachodnich firmach. Nic też nie wiadomo, by sama aplikacja była kremlowską produkcją czy miała serwery w Rosji.

Czyli nie ma problemu?

Problem jest w naszym zachowaniu i poziomie świadomości. Niemal wszyscy mamy na telefonach aplikację Facebook, która przetwarza masę danych i zdarza jej się działać bez naszego pozwolenia. Choćby wtedy, gdy firma przejęła WhatsAppa i połączyła dane z obu źródeł, choć miała tego nie robić. W ten sposób w 2012 r. powstał potężny biometryczny zbiór na podstawie zdjęć, które sami udostępnialiśmy. Wtedy alarm podniósł hamburski urząd odpowiedzialny za ochronę danych osobowych i pod jego naciskiem Facebook zamknął bazę. Ciekawe, że media pisały o presji Niemiec i o tym, że Europejczycy tracą świetną możliwość automatycznego oznaczania znajomych, bo unijne prawo tego zabrania. Ale to było w czasach, gdy dopiero uczyliśmy się, czym jest ochrona danych osobowych w sieci. To było w erze pre-Snowdenowej.

Dziś byłoby inaczej?

Dziś elektryzują nas doniesienia o działaniach rosyjskich czy chińskich informatyków. A na tych amerykańskich dalej niespecjalnie zwracamy uwagę. To błąd. Dlatego ja życzyłbym sobie, aby władze w swojej zapowiedzi przyjrzenia się aplikacji FaceApp nie ograniczały się tylko do niej, a zajęły się też polityką Google’a, Facebooka, czy - szerzej - tych usługodawców, którzy zarabiają na przetwarzaniu naszych danych. Bo nawet eksperci nie wiedzą, na czym ona dokładnie polega, tak zawiłe są zapisy tych firm.

To dlatego wspomniany już Maciej Kawecki napisał na swoim profilu: "Usłyszałem dziś fajny tekst od @niebezpiecznik: Jakie jest największe kłamstwo Internetu? Tak, przeczytałem politykę prywatności aplikacji".

Bo to prawda. Większość z nas nie przeczytała regulaminu FaceAppa. Tak, jak nie przeczytała zasad WhatsAppa czy Facebooka. Tymczasem jeśli korzystamy z bezpłatnej aplikacji, nasze dane stają się produktem przetwarzanym przez jej producenta. W realu nauczyliśmy się, że nic nie jest za darmo. Tu walutą stają się informacje o użytkowniku.

Załóżmy jednak, że służby specjalne wykorzystają tę aplikację…

FaceApp rzeczywiście przetwarza fotografie na serwerze firmy, czyli przesyła je do autorów aplikacji. Prosi o dostęp do naszych zdjęć i aparatu. Te uprawnienia każdy z użytkowników smartfona może sprawdzić (oraz w każdej chwili odwołać) . Jeśli chcemy snuć teorie spiskowe warto zauważyć, że większość osób w pierwszej kolejności przetwarza w aplikacji swoje selfie. Autorzy mogą więc dowiedzieć się, jak wyglądamy i odszukać na tej podstawie inne nasze zdjęcia w sieci, w tym nasze profile społecznościowe, co pozwoli im na sprofilowanie naszej osoby (np. zainteresowania, poglądy polityczne). Mogą też zauważyć, że fotografie wrzucamy zazwyczaj po północy, z jednego obszaru (zdjęcia mają zapisane koordynaty GPS miejsca, w którym zostały wykonane). To, z kolei, powie coś o naszych zwyczajach. Wszelkie dane na nasz temat mogą być analizowane przez służby (nie tylko rosyjskie). Wyciek, którego źródłem był Edward Snowden pokazał, jak bliska jest współpraca twórców aplikacji z amerykańskimi służbami. Świat dowiedział się o programie PRISM, który pozwalał masowo podsłuchiwać rozmowy prowadzone m.in. przez Internet. Nie chcę tu napędzać paranoi mówiąc "wszyscy nas śledzą". Ale skoro wysyłamy dane do chmury to, oczywiście, będziemy śledzeni.

Jest jakikolwiek sposób, by się przed tym uchronić?

Myślę, że osoby, które chcą ukryć swoje działania przed służbami wiedzą, co robić i zostawiają minimalna ilość cyfrowych śladów. Poza tym, nie chodzi tylko o służby. O ile nie każdy z nas jest na ich celowniku, o tyle nasze dane są cenne dla celów komercyjnych. Instalując kolejne aplikacje odzieramy się stopniowo z prywatności i tego po prostu nie da się uniknąć. A ponieważ aplikacje instalujemy głównie na urządzeniach mobilnych, zapleczem ich działania jest dziś chmura, nie zasób stacjonarnego komputera. Wiele osób jest zaskoczonych tym faktem.

Totalna inwigilacja…

…która czasem, co warto podkreślić, może być pożyteczna. Microsoft i Google mają technologie pozwalające np. wykrywać w chmurach zdjęcia, które uznane zostały już kiedyś za treści pedofilskie (technologia PhotoDNA). Tu analiza obrazu dokonuje się automatycznie, bez udziału człowieka. Wystarczyło, że taki plik pojawił się na gmailu. Na tej podstawie dochodziło już w USA do zatrzymań. Czy tak się dzieje w Polsce, tego nie wiem. Ale przypuszczam, że skoro nasze służby współpracują z Interpolem i Europolem, musza mieć dostęp do podobnych technologii lub przynajmniej do ustaleń na ich podstawie poczynionych.

Twórca FaceApp przekonuje, że zdjęcia wykorzystane do przetworzenia są usuwane z serwerów aplikacji po 48 godzinach. Naprawdę znikają?

Taka ogólna zasada porządkowania danych byłaby dobrym standardem. Czy tak jest - nie wiem. Generalnie mamy wokół siebie śmietnik danych, porzuconych aplikacji, którymi nikt się nie zajmuje, bo przestały być popularne lub znudziły się swojemu autorowi. Jeszcze niedawno był szał na zabawki, do których dzieci mogły mówić, a pluszaki po jakimś czasie zaczynały odpowiadać. Dorosłym zabrakło świadomości, że skoro urządzenie podłączone jest do sieci i "słucha" tego, co się do niego mówi, to nagrania gdzieś istnieją. I rzeczywiście, badacze od bezpieczeństwa trafili potem w internecie na, w żaden sposób niezabezpieczone, repozytorium z tego misia. Inny przykład: jest sobie polski serwis generujący CV. Wystarczyło podać dane, a on tworzył ładnie sformatowany dokument. Potem okazało się, że dane osób, które z niego skorzystały, po prostu wisiały na pewnym serwerze bez żadnych zabezpieczeń. Wystarczyło wpisać do przeglądarki odpowiedni adres i można było czerpać garściami. Podobnych sytuacji zdarzają się dziesiątki, setki rocznie. Choćby popularna kiedyś aplikacja do przechowywania paragonów. Niektórzy zostawiali tam nawet kwity z danymi adresowymi. Potężny zbiór na jednym serwerze, porzucony, bo twórcy aplikacji nawet nie chciało się go skasować. Dlatego zamiast teraz ulegać stadnej panice, lepiej przyjąć prostą zasadę: jeśli nie chcesz, by coś stało się publiczne, nie wrzucaj tego do sieci.