Φοβία με την διάδοση προσωπικών δεδομένων

[aris1986]

You must be fun at parties!!!

[funbreaker]

On 18/10/2018 at 21:10, aris1986 said:

https://www.protothema.gr/greece/article/830831/prostima-se-tesseris-gnostes-etaireies-tilefonias-apo-tin-arhi-prostasias-dedomenon/AMP/

Πόσο το χάρηκα ρε παιδιά πάντα τέτοια.

😀 👍

Δεν ξέρω αν είναι 150κ συνολικά, αλλά και στην κάθε μια να είναι, βγάζουν πολλά περισσότερα απ αυτή την δραστηριότητα οπότε το πρόστιμο δεν θα τους αλλάξει νοοτροπία.

Χρειαζόταν μεγαλύτερο πρόστιμο. 150κ είναι ψίχουλα για τέτοιες εταιρίες.

On 17/10/2018 at 14:05, Praetorianos said:

Κοίτα, εγώ τουλάχιστον κατέληξα, βλέποντας τα παραδείγματα που χρησιμοποιούμε και οι δύο, ότι ισχύει αυτό που έλεγα από την αρχή, διαφορετική εκτίμηση αξίας / πιθανότητας, άρα διαφορετική αντιμετώπιση σε φαινομενικά ίδιο πράγμα.

Δανείζομαι λίγο κάποια (υπερ-υπεραπλουστευμένα) στοιχεία από τα χρηματοοικονομικά για να γίνω πιο κατανοητός.

Η αξία ή αν θέλεις, το κόστος ενός κινδύνου για κάποιον είναι η «αντικειμενική» του αξία, επί την πιθανότητα του να συμβεί.

Πάμε:

Α = Αξία προσωπικών δεδομένων
Π = (Εκτιμώμενη) Πιθανότητα να διαρρεύσουν και να γίνουν deanonymised προσωπικά δεδομένα
ΚΖ = Κόστος ζημιάς από τη διαρροή προσωπικών δεδομένων

Άρα:
ΚΖ = Π * Α

Ακόμα κι αν όλοι μας είχαμε την ίδια αντοχή στο ίδιο «κόστος ζημιάς», (το παράδειγμα με τη νεαρά και το κάμπριο νομίζω αποδεικνύει το αυταπόδεικτο, ότι ΔΕΝ έχουμε), όλοι μας έχουμε διαφορετική εκτίμηση για το τι πιθανότητα υπάρχει να διαρρεύσουν και να γίνουν deanonymised τα δεδομένα και κυρίως για την αξία που τους δίνουμε.

Εσύ δίνεις πιθανότητα να διαρρεύσουν ίση με το να πέσει αεροπλάνο σχεδόν, εγώ τους δίνω σχεδόν 100% (δεν τους δίνω τόσο, αλλά για demonstration purposes).

Πάμε τώρα

1)    Έστω ότι και οι δύο έχουμε αντοχή σε κόστος ζημιάς από τη διαρροή προσωπικών δεδομένων, 50.000 μονάδες.
2)    Έστω ότι και οι δύο δίνουμε αξία 100.000 μονάδες στα δεδομένα μας.
3)    Έστω ότι εσύ δίνεις πιθανότητα 1% να διαρρεύσουν δεδομένα, εγώ 100%.

Κόστος ζημιάς praetorianos:
KZ = Π * Α = 100% * 100.000 = 100.000 μονάδες η ζημιά > 50.000 που είναι το ανεκτό όριο, άρα δεν παίρνω το ρίσκο.

Κόστος ζημιάς funbreaker:
KZ = Π * Α = 1% * 100.000 = 1.000 μονάδες η ζημιά < 50.000 που είναι το ανεκτό όριο, άρα παίρνεις το ρίσκο.

Προφανώς ούτε η 1η υπόθεση ισχύει και για τους δύο, ούτε η 2η, αλλά ακόμα και να ίσχυε, μόνο και μόνο που δίνουμε εντελώς διαφορετικές πιθανότητες, αλλάζει και η άποψη μας. Ελπίζω τώρα να είναι πιο κατανοητό.

 

Sorry για την καθυστερημένη απάντηση, τεράστια έλλειψη χρόνου.

Καταπλητική η ανάλυσή σου, αυτό εννοούσα εξαρχής.

Το ζήτημα λοιπόν στρέφεται στο πόσο επικίνδυνο είναι αντικειμενικά.

Γιατί οκ, έχουμε τις αντικειμενικές μας εκτιμήσεις αλλά υπάρχει μια αντικειμενική τιμή για τον κίνδυνο διαρροής.

Και ποιος θα μας δώσει αυτή την τιμή; Η στατιστική:

Πλέον η πλειοψηφία της κοινωνίας ασχολείται με το internet και ρισκάρει προσωπικά δεδομένα.

Πόσοι έχουν πληγεί; Προσωπικά δεν ξέρω ούτε έναν.

Και φυσικά, στην στατιστική δεν μπαίνει η διαρροή βίντεο και φωτογραφιών που δεν έχουν προκύψει από διαρροή από παρόχους υπηρεσιών που κατέχουν δεδομένα.

Δηλαδή αν ανεβάζει κάποιος στο youporn γυμνές φωτογραφίες της πρώην του, δεν είναι διαρροή στα πλαίσια του θέματος που συζητάμε. Απλά είναι χρήση του internet για διάδοση που είναι άλλο θέμα. Αν όμως είχε κάποιος γυμνές φωτογραφίες του σε cloud και διέρευσαν τότε είναι εντός θέματος και εντός της στατιστικής (όχι ότι και η πρώτη περίπτωση είναι συχνή συγκριτικά με το πληθυσμό).

Επειδή λοιπόν δεν ξέρω ούτε έναν που να επλήγει θεωρώ την πιθανότητα παρόμοια με την πτώση αεροπλάνου.

Αντιθέτως γνωρίζω πάρα πολλούς που πέθαναν από τροχαίο ατύχημα αλλά συνεχίζω να χρησιμοποιώ οδικά μέσα.

Επίσης με την χρήση οδικών μέσων ρισκάρεις την ζωή σου, άρα σίγουρα κάτι μεγάλης αξίας, οπότε το επιχείρημα της τεράστιας αξίας παρά την μικρή πιθανότητα αναιρείταο.

 

Αυτό ήταν το σκεπτικό μου για την εκτίμηση κινδύνου.

Θα με ενδιέφερε να ακούσω το σκεπτικό αυτών που θεωρούν τον κίνδυνο σημαντικό.

[Praetorianos]

Στις 19/10/2018 στις 11:43 ΠΜ, defacer είπε

Μεταξύ μας τώρα, έγραψες άλλο ένα κατεβατό που από ουσία έχει μηδέν -- κάποια στιγμή μερικοί αναμένουν μάγους και γοργόνες, άρα οι υπόλοιποι οφείλουμε να προσαρμόσουμε την επιχειρηματολογία μας στη φαντασία τους χωρίς να εκφράσουμε διαφορετική άποψη; [...] Δεν έχεις μάθει να ρωτάς όταν έχεις απορία;

Τελικά ρωτάς γιατί όντως έχεις απορία ή έχεις προαποφασίσει ότι μιλάμε για μάγους και γοργόνες? Βλέπεις λοιπόν ότι αυτός που προκαλεί είσαι εσύ και γιατί λέω ότι συνεχώς γράφεις με εριστικό ύφος απλά για να γράψεις?

Τέλος πάντων, αν συνθέσεις μία πολύ συγκεκριμένη πρόταση-ερώτηση χωρίς 7 παραγράφους εισαγωγή για την αναίτια επίθεση που δέχεται το πρόσωπο σου και χωρίς 12 παραγράφους επίλογο που να αναφέρουν δράκους, μάγους και κατουρήματα επί νιπτήρα, υπόσχομαι θα απαντήσω πολύ σοβαρά.

1 ώρα πριν, funbreaker είπε

Πλέον η πλειοψηφία της κοινωνίας ασχολείται με το internet και ρισκάρει προσωπικά δεδομένα. Πόσοι έχουν πληγεί; Προσωπικά δεν ξέρω ούτε έναν.

Επειδή λοιπόν δεν ξέρω ούτε έναν που να επλήγει θεωρώ την πιθανότητα παρόμοια με την πτώση αεροπλάνου.

Καταλαβαίνεις ότι αυτό το επιχείρημα, γραμμένο σε ένα τεχνολογικό forum και ειδικά γραμμένο από εσένα το θεωρώ περισσότερο "το 'γραψα απλά για να συνεχιστεί η κουβέντα" και σχεδόν καθόλου "για να υποστηρίξω σοβαρά την άποψη μου".

Αντικατέστησε τη λέξη δεδομένα με τη λέξη τσιγάρο και δες πόσο διαφορετική είναι η διατύπωση σου με το μπάρμπα του "σιγά μην βλάπτει το τσιγάρο, όλο το χωριό καπνίζει και πεθαίνουν όλοι 90φεύγα".

Στα πιο σοβαρά τώρα, όλα τα επιχειρήματα μέχρι τώρα μιλάνε για το τώρα. Το σήμερα. Στα πρώτα μου μηνύματα έγραψα ότι τεχνολογικά (τόσο από θέματα hardwarικού capacity όσο και από αλγοριθμικού know-how) είμαστε στην εποχή των σπηλαίων όσον αφορά τα προσωπικά δεδομένα και την αξιοποίηση τους. Ανάθεμα κι αν η ίδια η Google μπορεί να αξιοποιήσει το σύνολο των δεδομένων που διαθέτει.

Παρακάτω θα γράψω 2 παραδείγματα τα οποία εγώ τα θεωρώ πολύ σημαντικά, άρα θεωρώ ότι υποστηρίζουν αυτά που λέω, κάποιος άλλος σχεδόν καθόλου, (πάρα πολύ σεβαστό, ΔΕΝ θα έχει άδικο) οπότε δεν τα θεωρούν επιχειρήματα, άρα ξαναγυρνάμε στο ground zero, όπου κάνουμε διαφορετική "αξιολόγηση" κι εκτίμηση πιθανότητας και ζημιάς.

Άρα εδώ θα κολλούσε και η:
1) Δυσπιστία του άλλου χρήστη για τις ασφαλιστικές
2) Δική σου δυσπιστία για τα μειονεκτήματα από την εκμετάλλευση των δεδομένων
3) Η έτερη αναφορά για γοργόνες και μάγους

Πριν διαβάσει κάποιος τα παρακάτω, αν θέλει να αρχίσει για 1984 και για Black mirror και για tinfoil hats, I won't bite.

Παράδειγμα 1:

Είναι ήδη νομίζω αυταπόδεικτο ότι όλοι νομίζουμε ότι είμαστε 100 φορές πιο rational και αντικειμενικοί, απ' ότι πραγματικά είμαστε. Σίγουρα δεν είναι κανείς μας τόσο χαζός για να αλλάξει διάθεση βάσει του ...facebook feed του, ούτε τόσο redneck hillbilly για να επηρεαστεί κάτι τόσο σημαντικό όσο η ψήφος του από ένα ...διαδικτυακό ad? Σωστά? 

Αναφορά σε κείμενο

 

In a study with academics from Cornell and the University of California, Facebook filtered users' news feeds – the flow of comments, videos, pictures and web links posted by other people in their social network. [...] It has published details of a vast experiment in which it manipulated information posted on 689,000 users' home pages and found it could make people feel more positive or negative through a process of "emotional contagion". [...] "They are manipulating material from people's personal lives and I am worried about the ability of Facebook and others to manipulate people's thoughts in politics or other areas.

https://www.theguardian.com/technology/2014/jun/29/facebook-users-emotions-news-feeds

 

Το οποίο δένει με:

Αναφορά σε κείμενο

 

The data analytics firm that worked with Donald Trump’s election team and the winning Brexit campaign harvested millions of Facebook profiles of US voters, in one of the tech giant’s biggest ever data breaches, and used them to build a powerful software program to predict and influence choices at the ballot box. [...] used personal information taken without authorisation in early 2014 to build a system that could profile individual US voters, in order to target them with personalised political advertisements.

https://www.theguardian.com/technology/2014/jun/29/facebook-users-emotions-news-feeds

 

TL;DR Ανεξαρτήτως πόσο έξυπνος ή χαζός είναι κάποιος, οι πράξεις του μπορούν να επηρεαστούν από τα ερεθίσματα που δέχεται. Όσο πιο πολλές λεπτομέρειες ξέρεις για κάποιον, τόσο πιο εύκολο είναι να αναγνωρίσεις τα ερεθίσματα στα οποία θα αντιδράσει και τον τρόπο με τον οποίο θα αντιδράσει, ώστε να τα επηρεάσεις.

Και δεν μιλάω για τον Trump μόνο, κι ο Obama το είχε χρησιμοποιήσει και μάλιστα he showed how it's done. Ούτε έχει γίνει μόνο στο εξωτερικό.
Θα μου αντικρούσεις, δεν γινόταν από πάντα αυτό? Ναι, αλλά άλλο να ξέρεις ότι η Μυτιλήνη έχει πρόβλημα με τους μενατάστες και να αλλάξεις το μήνυμα σου όταν κάνεις προεκλογική εκστρατεία εκεί και άλλο να ξέρεις ότι ο Βασίλης θα ψηφίσει οποιονδήποτε φροντίσει να "καθαρίσει τη βρώμα" από το ηρωικό νησί του με ένα popup εκεί που ψάχνει για "ιχώρ".

Παράδειγμα 2:

Στο εξωτερικό,  είχα ανακατευτεί με ένα project μιας εταιρείας η οποία βοηθούσε στο credit scoring πελατών τραπεζών. Το credit score (δεν το έχουμε στην Ελλάδα ακόμα (και γράφω ακόμα γιατί προσωπικά πιστεύω ότι κάποια στιγμή θα έρθει, ως το next step μετά τον Τειρεσία)) λοιπόν, δηλαδή το σκορ βάσει του οποίου αποφασίζει μια τράπεζα αν και πόσο θα δανείσει σε κάποιον, βγαίνει παραδοσιακά από τις καταθέσεις κάποιου, το μηνιάτικο του και άλλα "προβλέψιμα" στοιχεία.

Η καινοτομία αυτής της εταιρείας ήταν ότι έκανε scrap ό,τι διαθέσιμα στοιχεία υπήρχαν "ανοιχτά", είτε στο διαδίκτυο, είτε από άλλες εταιρίες, για εκατοντάδες χιλιάδες πελάτες, τηλέφωνα, επαφές, φίλους, μόρφωση, επαγγέλματα, locations που έχει πάει, που έκανε διακοπές, ποιο αμάξι πήρε, πότε το πήρε, αν έχασε κάποια δόση, τι εταιρίες χρησιμοποιεί, πόσο συχνά ψωνίζει, από που ψωνίζει, που έχει κάνει tag, wishlists, αν έχει γίνει κάπου mention κτλ. Για όποια στοιχεία δεν είχε γνώση, τα αγόραζε και έφτιαχνε unified, unique profiles τα οποία μετά και μεταπωλούσε σε όποιον τα ζητούσε (και εκτός τραπεζών δηλαδή).

Έκανε η εταιρεία τίποτα μεμπτό? Όχι.
Υπάρχουν πληρωμένοι δολοφόνοι που περιμένουν τέτοιες εταιρίες για να βρουν στόχους? Όχι.
Κινδυνεύει ο Γιώργος που μένει στα Πετράλωνα και ανεβάζει φωτο από το γύρο που έφαγε προχθές από κάτι? Όχι.
Θα απορρίψει τα επόμενα 20 χρόνια η Εθνική ένα δάνειο στον Χρήστο, βάσει μιας χίπισσας γκόμενας που έκανε like στα Μάταλα το 2015? Όχι
Μπορεί να γίνει κάποια οικονομική ζημιά σε εμένα ή στον funbreaker βάσει του geolocation και των bookmarks μας? Όχι

Όταν όμως είδα επώνυμα δεδομένα τόσων χιλιάδων ανθρώπων σε τόσο μικροσκοπικό επίπεδο που ούτε οι ίδιοι δεν τα έχουν αποθηκευμένα κάπου, βασικά δεν παίζει καν να θυμούνται ότι υπάρχουν τέτοια δεδομένα, ένιωσα άβολα.

Και μιλάμε για σήμερα. Και μιλάμε για ένα project όπου δεν περιελάμβανε μυστικούς πράκτορες με αλεξίσφαιρα και μαυρά γυαλιά, ούτε χρειάστηκα ultra top level clearance για να αναμιχθώ, ούτε υποδομές PRISM, αλλά για εταιρεία με μάλλον βιαριεστημένους engineers, ακόμα πιο βαριεστημένους αναλυτές/data scientists, σκόρπια γραφεία και ένα project σαν όλα τα άλλα.

TL;DR όσων έχω γράψει, ΔΕΝ είναι η αντικεμενική ακριβής οικονομική εκτίμηση ζημιάς ο λόγος της μη διάδοσης, ούτε ο φόβος πλύσης εγκεφάλου και 1984, είναι το πόσο άβολα νιώθει καθένας με το να γίνονται mine, share και εκμεταλλεύσιμα προσωπικά data points. Πόσο μάλλον όταν ο αντίλογος είναι "και τι θα μπορούσαν να κάνουν τα δεδομένα σου σήμερα".