Pewnego ponurego dnia 2009 roku młody białoruski aktywista Paweł Laszkowicz na własnej skórze poznał niebezpieczeństwa związane z nadmiernym tworzeniem sieci społecznościowych. Będąc studentem pierwszego roku publicznego uniwersytetu w Mińsku, niespodziewanie wezwano go do dziekanatu, gdzie spotkało go dwóch podejrzliwie wyglądających mężczyzn, którzy powiedzieli mu, że pracują dla KGB, jednej organizacji publicznej, której białoruskie władze postanowiły nie zmieniać nazwy nawet po jesieni komunizmu (to grupa świadoma marki). Funkcjonariusze KGB zadawali Pawłowi różnego rodzaju szczegółowe pytania dotyczące jego podróży do Polski i Ukrainy, a także jego przynależności do różnych ruchów antyrządowych. Ich rozległa wiedza o wewnętrznych sprawach białoruskiej opozycji – a zwłaszcza o własnym zaangażowaniu Pawła w nią, o czym uważał, że nie jest powszechnie znana – bardzo go zaskoczyła. Ale potem wszystko stało się jasne, kiedy duet KGB załadował swoją stronę na vkontakte.ru, popularnym rosyjskim portalu społecznościowym, wskazując, że został wymieniony jako „przyjaciel” przez wielu znanych działaczy opozycyjnych. Wkrótce potem goście zaproponowali Laszkowiczowi podpisanie nieformalnej „umowy o współpracy” z ich organizacją. Odmówił – co w końcu może go drogo kosztować, ponieważ wielu studentów sympatyzujących z opozycją i niechętnych do współpracy z władzami zostało w przeszłości wyrzuconych z uniwersytetów. Nigdy nie dowiemy się, ilu innych nowych podejrzanych KGB dodało do swojej listy, przeglądając profil Lyashkovicha. Białoruś nie jest odosobnionym przypadkiem, a inne rządy szybko zaczynają rozumieć ogromną wartość wywiadowczą informacji umieszczanych na portalach społecznościowych. Niektórzy chcą nawet prowadzić własne witryny, być może po to, by zaoszczędzić na kosztach nadzoru. W maju 2010 roku, po zablokowaniu Facebooka i wyczuwając niezaspokojony i rosnący popyt na usługi sieci społecznościowych wśród swojej ludności, Wietnamskie Ministerstwo Informacji i Komuikaji przeniosło się, aby otworzyć własny serwis społecznościowy, w którym pracuje trzystu programistów komputerowych, grafików, techników i redaktorów. Trudno powiedzieć, czy stanie się popularna – z nazwą taką jak GoOnline wydaje się to długa perspektywa – ale z punktu widzenia rządu szpiegowanie członków sieci społecznościowej, gdy zna wszystkie ich hasła, jest jeszcze łatwiejsze. Demokratyczne rządy również uległy takim praktykom. Na przykład indyjska policja na spornym terytorium Kaszmiru bacznie śledzi wszelkie publikacje na Facebooku dotyczące Kaszmiru. Po znalezieniu czegoś podejrzanego dzwonią do użytkowników, pytają o ich działania i nakazują im zgłoszenie się na posterunki policji. (To skłoniło wielu aktywistów w Kaszmirze do rozpoczęcia rejestracji pod fałszywymi nazwiskami, co jest praktyką, którą Facebook, chcąc nie osłabić jakości swojej znakomitej bazy użytkowników fałszywymi wpisami, zdecydowanie odradza). Oczywiście nie wszystkie sieci społecznościowe są szkodliwe. Bycie częścią sieci ma wiele zalet. Na przykład znacznie łatwiej i taniej jest dotrzeć do innych członków, gdy zajdzie taka potrzeba (np. Przed zbliżającym się protestem). Ale członkostwo w sieci jest czymś w rodzaju miecza obosiecznego: jego użyteczność może z łatwością przynieść odwrotny skutek, jeśli niektóre segmenty zostaną naruszone, a ich relacje z innymi członkami staną się powszechnie znane. Przed pojawieniem się mediów społecznościowych, represyjne rządy wymagały wiele wysiłku, aby dowiedzieć się o ludziach, z którymi dysydenci są związani. Tajna policja mogła wyśledzić jeden lub dwa kluczowe kontakty, ale utworzenie obszernej listy – z nazwiskami, zdjęciami i danymi kontaktowymi – było niezwykle kosztowne. W przeszłości KGB uciekało się do tortur, aby dowiedzieć się o powiązaniach między aktywistami; dziś po prostu muszą wejść na Facebooka. Niestety, nadal istnieje powszechne przekonanie, że autorytarne rządy i ich służby bezpieczeństwa są zbyt głupie i technofobiczne, aby szukać takich danych na portalach społecznościowych. W swojej książce Children of Jihad z 2007 roku Jared Cohen z Departamentu Stanu USA pisze, że „Internet jest miejscem, w którym irańska młodzież może swobodnie działać, wyrażać siebie i uzyskiwać informacje na swoich własnych warunkach. [Oni] mogą być kimkolwiek i mówić, co tylko zechcą, ponieważ działają wolni od aparatu policyjnego państwa. . . . Prawdą jest, że rząd próbuje monitorować ich dyskusje i interakcje online, ale jest to praktycznie niemożliwe przedsięwzięcie ”. Jest to po prostu nieprawdziwe, czego dowodzą następstwa protestów z 2009 roku; dla osoby, której powierzono opracowanie skutecznej polityki internetowej wobec Iranu, Cohen jest narażony na niebezpiecznie przesadny cyberutopizm. (Można tylko mieć nadzieję, że to nie panglossowski optymizm Cohena, który Condoleezza Rice, która zatrudniła go do pracy w dziale planowania polityki Departamentu Stanu, chwaliła, mówiąc, że „Jared miał wgląd w Iran, którego my [w rządzie USA] nie nie mam ”) Jak się okazuje, władze irańskie poświęciły dużo czasu na analizę serwisów społecznościowych po wyborach, a nawet wykorzystały część zebranych informacji do wysłania ostrzeżeń do Irańczyków w diasporze. Podczas procesów o polowanie na czarownice w Iranie w 2009 roku władze wykorzystały przynależność dysydenta do akademickiej listy mailingowej prowadzonej przez Uniwersytet Columbia jako dowód, że szpiegował on dla zachodnich mocarstw. Dlatego nawet jeśli internetowa sieć społecznościowa ma minimalną wartość wywiadowczą, przyjaźń z niewłaściwymi osobami dostarcza dowodów, które można wykorzystać w sądzie. Wcześniej takie informacje były trudne do znalezienia; dysydenci często podejmowali dodatkowe wysiłki, aby to ukryć. Belinda Cooper, amerykańska aktywistka, która spędziła późne lata 80. w NRD i była członkiem kilku dysydenckich grup ekologicznych, pisze, że jedną z zasad stosowanych przez dysydentów wjeżdżających i wyjeżdżających z Niemiec Wschodnich było „nigdy nie przynosić książek adresowych podczas wyjazdu na wschód. (jak straż graniczna mogłaby i zrobiłaby ich kserokopię). ” Dziś sytuacja zmieniła się diametralnie, ponieważ listy naszych znajomych na Facebooku są dostępne dla każdego. Niestety, pozostawanie poza Facebookiem nie jest rozsądną opcją dla większości dysydentów. Muszą być obecni w tych przestrzeniach, aby przeciwdziałać rządowej propagandzie, podnosić świadomość na temat ich pracy na Zachodzie, mobilizować poparcie dla swoich celów wśród krajowej publiczności i tak dalej. Oczywiście mogą to robić anonimowo, ale dzięki anonimowości ich zaangażowanie jest znacznie mniej skuteczne. Rzecznictwo Sacharowa odniosłoby znacznie mniejszy sukces, gdyby nie praktykował go otwarcie. Liczne badania naukowe potwierdzają, że za każdym razem, gdy udostępniamy dane osobowe w serwisie społecznościowym, zwiększa się prawdopodobieństwo, że ktoś użyje ich do przewidzenia, jacy jesteśmy, a wiedza o tym, jacy jesteśmy, jest dobrym pierwszym krokiem w kierunku kontrolowania naszego zachowania. Badanie przeprowadzone w 2009 roku przez naukowców z MIT pokazało, że można przewidzieć – z uderzającą dokładnością – orientację seksualną użytkowników Facebooka, analizując ich internetowych znajomych. Nie jest to dobra wiadomość dla osób z regionów takich jak Bliski Wschód, gdzie homoseksualizm wciąż niesie ze sobą poważne piętno społeczne. W innym badaniu z 2009 roku przeprowadzonym przez naukowców z University of Cambridge, którego raport zatytułowany jest „Eight Friends Are Enough”, wykazano, że na podstawie ograniczonych informacji, które Facebook ujawnia wyszukiwarkom takim jak Google, można wyciągnąć dokładne wnioski na temat informacji, które są nie są ujawniane. Wiele funkcji, które sprawiają, że serwisy społecznościowe są tak łatwe w użyciu – na przykład wyszukiwanie znajomych, którzy są już członkami serwisu – ułatwia również śledzenie tożsamości w wiadomościach e-mail, a nawet śledzenie działań użytkowników w różnych innych witrynach. Większość z nas wie, jak łatwo jest sprawdzić, czy nasi znajomi zarejestrowali się już w określonych serwisach społecznościowych, po prostu przyznając Facebookowi, Twitterowi lub LinkedIn tymczasowy dostęp do naszej książki adresowej, aby witryny te mogły automatycznie sprawdzać adresy e-mail nasze kontakty z ich listami istniejących użytkowników. Jeśli pięciu naszych znajomych e-maili jest już użytkownikami Twittera, Twitter może nas o tym powiadomić. Jak na razie dobrze. Problem w tym, że tę samą operację można wykonać również na wrogach. Adresy e-mail można dodawać do książek adresowych ręcznie, bez konieczności wysyłania e-maili do tej osoby. Tak więc, znając tylko adres e-mail danej osoby, można znaleźć jej konta we wszystkich serwisach społecznościowych, nawet jeśli nie korzysta z nich pod swoim prawdziwym imieniem i nazwiskiem. Badanie przeprowadzone w 2010 roku przez francuski instytut badawczy Eurecom miało na celu zbadanie luk w zabezpieczeniach, które taka łatwość użytkowania stwarza dla użytkownika. Po pierwsze, naukowcy znaleźli w Internecie 10,4 miliona adresów e-mail; następnie zaimportowali je do swoich książek adresowych; i wreszcie opracowali prosty skrypt, aby automatycznie sprawdzać w każdym z popularnych serwisów społecznościowych, czy mają użytkowników odpowiadających na te e-maile. W rezultacie zidentyfikowali ponad 876941 e-maili powiązanych z 1228644 profilami, przy czym 199161 e-maili miało konta w co najmniej dwóch witrynach, 55660 na trzech itd. (11 osób miało konta e-mail powiązane z siedmioma portalami społecznościowymi jednocześnie). Jak można było się spodziewać, niektórzy użytkownicy, którzy mieli konta w wielu serwisach społecznościowych, podawali każdemu z nich różne informacje (na przykład o swojej orientacji seksualnej, lokalizacji lub wieku). Jest wysoce prawdopodobne, że spora część badanych osób nie chciała, aby ktokolwiek łączył rodzaj błahostek, które publikują na Twitterze ze swoją pracą, a mimo to badacze znaleźli co najmniej 8802 użytkowników, którzy mieli konta na LinkedIn, portal społecznościowy sieć dla profesjonalistów i Twitter. Jeśli ktoś z tej puli ma listę, powiedz: „Stany Zjednoczone Departament Obrony ”jako pracodawca na swoim profilu LinkedIn, można było sprawdzić, o czym ta osoba tweetowała, nawet jeśli tweeting był wykonywany pod pseudonimem.
Dlatego tak długo, jak konta w sieciach społecznościowych są powiązane z jednym adresem e-mail, niezwykle łatwo jest powiązać je z konkretną osobą, poznać imię tej osoby i zobaczyć, w jakie ukryte niedyskrecje ta osoba może się angażować w trybie offline lub online. Na przykład badacze odnaleźli profil żonatego profesora po pięćdziesiątce, który był również niezwykle aktywny na różnych portalach randkowych. Podobnie aktywiści, którzy przesyłają wrażliwe filmy na YouTube, myśląc, że nikt nie może odgadnąć ich prawdziwych nazw na podstawie ich nazw użytkowników, mogą być znacznie bardziej narażeni na ryzyko, jeśli używają tego samego adresu e-mail, aby uzyskać dostęp do Facebooka, a tajna policja dowie się, jaki jest ten adres e-mail. Po ostrzeżeniu o takich lukach wiele serwisów społecznościowych nieznacznie zmodyfikowało swoje procedury operacyjne, co utrudnia masowe przeprowadzanie takich kontroli. Niemniej jednak nadal można znaleźć wiele tożsamości online dla poszczególnych e-maili, sprawdzając ręcznie. Nie jest to funkcja, która wkrótce zniknie, choćby dlatego, że pozwala portalom społecznościowym poszerzyć bazę użytkowników. Korporacje już teraz wykorzystują coraz bardziej społeczny charakter sieci. Hotele używają teraz lokalizacji, dat i nazw użytkowników, które pojawiają się w witrynach takich jak TripAdvisor czy Yelp, do triangulacji tożsamości gości. Jeśli znajdą prawdopodobne dopasowanie, a opinia będzie pozytywna, zostanie dodana do rejestru preferencji gości hotelu. Jeśli wynik jest negatywny, podróżni mogą otrzymać kupon, aby zrekompensować niedogodności lub, w najgorszym przypadku, zostać oznaczeni jako „problematyczni goście”. Barry Hurd, dyrektor generalny 123 Social Media z siedzibą w Seattle, firmy zarządzającej reputacją, która współpracuje z ponad pięciuset hotelami, uważa, że „technologia rozwija się tak szybko, że w przyszłości każdy przedstawiciel hotelu mógłby mieć pasek narzędzi na swoim komputer, który jednym kliknięciem myszy ujawnia wszystko o gościu – każdą recenzję, preferencje gościa, a nawet prawdopodobieństwo, że będziesz pozytywnie lub negatywnie nastawiony do Twojego pobytu ”. Oczywiście hotele nie są autorytarnymi rządami – nie będą więzić gości w swoich pokojach za wyrażanie odmiennych poglądów – ale jeśli uda im się poznać prawdziwą tożsamość kryjącą się za wyimaginowanymi pseudonimami internetowymi, to samo zrobi tajna policja. Co więcej, korporacyjne dążenie do dezanonimizacji tożsamości użytkowników może wkrótce zasilić rynek narzędziami, które mogą zautomatyzować ten proces, a narzędzia te można następnie łatwo wykorzystać w bardziej złowieszczy sposób. Agencje wywiadowcze w Stanach Zjednoczonych już skorzystały z technologii gromadzenia danych stworzonej na Wall Street. TextMiner, jedna z takich platform opracowanych przez Exegy, firmę współpracującą zarówno z agencjami wywiadowczymi, jak i bankami z Wall Street, może przeszukiwać listy lotów, harmonogramy przewozów i zapisy telefonów, a także wzorce, które mogą tworzyć numery ubezpieczenia społecznego lub konta e-mail. „To, co tej jednej konkretnej agencji zajęło jedną godzinę, mogą teraz zrobić w ciągu jednej sekundy” – mówi Ron Indeck, dyrektor ds. Technologii w Exegy, w zdaniu, które brzmi niezwykle podobnie do radości chińskich wykonawców z TRS Solutions. W ten sposób można przeszukiwać i porządkować artykuły z całego roku z jednej organizacji w „kilka sekund”. Sektor prywatny z pewnością będzie nadal wytwarzał innowacje, które mogą przynieść korzyści tajnej policji na całym świecie. Nie znajdując sposobów na zablokowanie transferu takich technologii do państw autorytarnych czy, co ważniejsze, takich ograniczeń, jakie powinny być wszędzie narzucane takim technologiom, Zachód pośrednio angażuje się w prace tajnej policji w Chinach i Iranie. Ale nawet przy braku takich narzędzi twórcze hacki wykonają zadanie dobrze. W ramach wspólnego projektu z 2010 r. Naukowców z Uniwersytetu Technicznego w Wiedniu, Uniwersytetu Kalifornijskiego w Santa Barbara i Eurecom odkryto interesujący sposób deanonimizacji użytkowników Xing, popularnego niemieckiego portalu społecznościowego, podobnego do Facebooka i LinkedIn. Ponieważ większość z nas należy do wielu różnych grup społecznościowych, które różnią się w zależności od naszych pasji, historii życia i stylu życia – na przykład Save the Earth, Feed the Children of Africa, absolwenci najlepszego uniwersytetu na świecie, wegetarianie Świat zjednoczony – prawdopodobieństwo, że ty i twoi przyjaciele należycie do dokładnie tej samej grupy, jest niewielkie (po uczęszczaniu do tej samej uczelni sztuk wyzwolonych w Nowej Anglii, twój najlepszy przyjaciel może również chcieć uratować ziemię i nakarmić dzieci w Afryce, ale także kochać Texas grillowe żeberka). Portale społecznościowe zwykle nie ukrywają list członków grupy przed osobami niebędącymi członkami, aby nie stawiać zbyt wielu barier komunikacyjnych. W ten sposób możliwe jest stworzenie niemal unikatowego identyfikatora, „grupowego odcisku palca” – pomyśl o tym jako o liście wszystkich grup na Facebooku, do których należy dany użytkownik – dla każdego z nas. Najbardziej oczywistym miejscem, w którym można szukać pasującego odcisku palca, byłaby historia naszych przeglądarek internetowych, ponieważ jest to miejsce, w którym przechowywany jest zapis wszystkich grup – i oczywiście wszystkich innych odwiedzanych witryn internetowych. Aby ukraść historię naszej przeglądarki, wystarczy, że klikniemy złośliwy odsyłacz, taki jak ten w tajemniczy sposób dodany do petycji e-mailowej RSF, a wszystko, co przeglądaliśmy w ciągu ostatnich kilku dni, nie będzie już prywatną wiedzą. Według raportu z 2010 r. Stworzenie pasującego „odcisku palca grupy” wymagało sprawdzenia 92 000 adresów URL, co zajęło mniej niż minutę. Naukowcom udało się poprawnie odgadnąć tożsamość celu w 42% przypadków. Innymi słowy, jeśli ktoś zna Twoją historię w Internecie, a Ty jesteś zapalonym użytkownikiem serwisów społecznościowych, ma duże szanse na ustalenie Twojego imienia. Wkrótce tajna policja będzie mogła po prostu zajrzeć do dziennika z Twojej ulubionej kafejki internetowej i dowiedzieć się, kim jesteś, nawet bez pytania o kopię paszportu (chociaż ta ostatnia opcja jest również coraz powszechniejsza w autorytarnych rządach). Trudno się dziwić, że tajna policja w reżimach autorytarnych jest podekscytowana wykorzystaniem takich luk w celu wypełnienia luk w swoich bazach danych. Mogą na przykład znać adresy e-mail przeciwników rządowych, ale nie znać ich tożsamości. Aby poznać ich nazwiska, mogli wysyłać przeciwnikom fałszywe e-maile zawierające złośliwe linki, których celem jest kradzież historii ich przeglądarek. W ciągu zaledwie kilku minut będą mogli dołączyć nazwiska (a także zdjęcia, dane kontaktowe i informacje o powiązanych połączeniach) do swoich dość nielicznych wpisów w bazie danych. Innym problemem jest to, że serwisy społecznościowe, takie jak Facebook, nie sprawdzają dokładnie zewnętrznych programistów – tych, którzy pracują nad wszystkimi tymi grami online, quizami i aplikacjami – pod kątem zaufania. (Do niedawna nie narzucali też wyraźnych ograniczeń co do ilości danych użytkowników, do których takie aplikacje mogą mieć dostęp, niezależnie od ich rzeczywistych potrzeb.) Oznacza to w istocie, że inteligentny reżim autorytarny może ułożyć zabawny quiz na temat Filmy z Hollywood i używaj go do zbierania poufnych informacji o przeciwnikach. To koszmarny scenariusz dla aktywistów, którzy walczą o ukrycie swoich powiązań przed władzami; oczywiście, jeśli rząd zna wszystkich znajomych z Facebooka swoich najbardziej zaciekłych przeciwników politycznych, byłoby głupotą nie zwracać szczególnej uwagi również na ich działania w Internecie, ponieważ zawsze istnieje duża szansa, że oni również stanowią zagrożenie. Nie pomaga też fakt, że w nieprzemyślanym poszukiwaniu innowacji firmy technologiczne całkowicie pomijają konteksty, w których działa wielu ich użytkowników, jednocześnie znacząco nie doceniając konsekwencji popełnienia błędów. Na początku 2010 roku, kiedy Google uruchomił Google Buzz, podobną do Twittera usługę, nie zadbali o ochronę tożsamości wielu swoich użytkowników, ujawniając swoje listy kontaktów w błędnym przekonaniu, że nikt nie miałby nic przeciwko takim naruszeniom ich prywatności. (nawet Andrew McLaughlin, były dyrektor generalny Google i zastępca dyrektora ds. technologii w administracji Obamy, został uwięziony w pułapce Buzza, ponieważ wielu jego byłych kolegów Google pojawiło się na jego liście kontaktów). Chociaż dyrektorzy Google bagatelizowali znaczenie wypadku, twierdząc, że nikt nie został poważnie ranny w tej klęsce, tak naprawdę nie wiemy, ile nowych nazwisk i kontaktów zostało w rezultacie dodanych do baz danych KGB. Rzeczywistych kosztów błędnej oceny Google nie można od razu obliczyć.