«Я только сейчас открыл ваше сообщение», – так начиналось электронное письмо с ответом на вопрос, которое было отправлено еще очень давно. Но Брайан Мерчант (Brian Merchant), исследователь актуальных интернет-трендов, знал, что отправитель врет. На самом деле тот открыл послание почти полгода назад. На компьютере Mac. В Пало-Альто. Ночью.
Брайан Мерчант знал об этом так подробно, потому что использовал службу трекинга электронной почты Streak, которая сообщила ему, как только сообщение было открыто. Сервис подробно проинформировал, где, когда и на каком устройстве было прочитано письмо. Брайан признает, что когда начал использовать Streak, то почувствовал себя шпионом, который обладал дополнительной скрытой информацией о тех, с кем переписывался. Но конечно, не только он использовал систему трекинга почты типа Streak.
Особенности технологии email-трекинга
Ежедневно направляются около 269 млрд электронных писем, на каждого человека на планете приходится около 35 писем. Согласно исследованию, опубликованному в июне прошлого года аналитиками компании OMC, более 40% этих писем отслеживаются системами класса «email intelligence» от одного разработчика, и этот же вендор также создает инструменты для борьбы с отслеживанием email — anti-tracking tools.
Технология довольно проста: для отслеживания абонента система вставляет строку кода в электронное письмо, как правило, он привязан к крохотному пиксельному изображению 1×1, которое невидимо, а также к таким элементам как гиперссылки и собственные шрифты. Когда получатель открывает письмо, система отслеживания узнает, где и на каком устройстве этот пиксель загружен.
Службы новостей, маркетологи и рекламодатели используют эту технику в течение многих лет для сбора данных о своих заказчиках и читателях. Крупные технологические компании, такие как Facebook и Twitter, применяют эту технологию для прогнозирования нашего поведения в интернете. Но в последнее время неожиданно много писем с трекингом начали присылать не корпоративные абоненты, а обычные пользователи. Они стараются отслеживать своих родственников, деловых партнеров, конкурентов и тому подобное.
Согласно данным OMC, сейчас отслеживается почти 19% всех «разговорных» электронных писем. Хотя вы, наверное, этого никогда не замечали. «Очень странно, что хотя есть много литературы по трекингу сайтов, отслеживания электронных сообщений известно довольно мало», — отметили исследователи в октябре 2017 года. Это означает, что каждый день отправляются миллиарды электронных писем миллионам людей, которые никогда не давали согласие на отслеживание. Тем не менее, это все же делается. И Флориан Серусси (Florian Seroussi), основатель OMC, считает, что по крайней мере некоторым из них по этой причине грозит серьезная опасность.
Немного истории по отслеживанию электронных сообщений
Еще в середине 2000-х годов технология отслеживания электронных сообщений была почти неизвестна для широкой публики. В 2006 году один из первых сервисов раннего отслеживания под названием ReadNotify наделал много шумихи, ведь в результате судебного разбирательства оказалось, что HP использовала этот продукт, чтобы проследить источники скандального электронного сообщения, которое попало в прессу. Скрытность (и простота) этой тактики шокировала общество, хотя новостные службы, продавцы и маркетологи давно использовали технологию отслеживания электронной почты для сбора данных.
Серусси считает, что именно Gmail здесь стал ледоколом — он вспоминает те времена, когда спонсорские ссылки начали появляться в наших почтовых ящиках на основе записанных данных. В то время это казалось довольно тревожным признаком, хотя сейчас уже никого не волнует. Именно Gmail дал толчок — когда рекламодатели и продавцы поняли, что они также могут отправлять фокусную рекламу на базе собранных записанных данных. Частично толчок этой технологии дали и спамеры:
«Профессиональные спамеры отслеживали любую активность с присланным электронным письмом, поскольку они, как правило, покупают целые списки адресов и пытаются активно бороться со спам-ловушками или не открытыми электронными письмами, — говорит Андрей Афлорай (Andrei Afloarei), исследователь спама в компании Bitdefender. — Если вы нажимаете на ссылку в их сообщении, это позволяет им убедиться, что ваш адрес актуальный».
Но маркетологи и менеджеры по продажам (и даже спамеры) больше не причастны к основной части трекинга. Теперь этим занимаются крупные технические компании: Amazon, Facebook, MailChimp. Когда Facebook отправляет вам электронное письмо с уведомлением про новую активность в вашем аккаунте, «он открывает приложение в фоновом режиме и таким образом знает, где вы находитесь, какое устройство используете, какую последнюю фотографию сделали».
В зависимости от того, какие разрешения установлены пользователем, Facebook получает доступ к почти всем элементам, начиная с камеры, места расположения и многих других скрытых логов. Даже если пользователь отключил разрешение на определение местоположения на устройстве, email-трекинг способен обойти это ограничение и предоставить Facebook информацию о геолокации пользователя.
Тим Кук работает на Windows-компьютере?
Брайан Мерчант решил обсудить вопрос трекинга с представителями компании Apple. Но если сначала они ответили утвердительно на предложение встретиться, то потом перестали отвечать на его письма. И тогда Мерчант установил email-трекер Streak и прислал еще одно письмо на пресс-контакт. На экране появилось оповещение: электронное письмо было открыто практически немедленно, внутри Купертино, на iPhone. Затем он был вновь открыт, на iMac, и снова, и снова. Письмо не только читали, но и активно пересылали друг другу. Однако ответа так и не было. В итоге Мерчант решил написать напрямую Тиму Куку.
Он прислал Куку длинное электронное письмо с подробной информацией об интервью. Но ответа не было. Тогда он написал короткий репортаж, включил Streak, и снова прислал письмо. Через час пришло уведомление: письмо прочитано. Но была одна пикантная деталь: по информации Streak, этот лист был прочитан на десктопе Windows. Возможно это было какая-то ошибка. И через несколько недель Мерчант отправил еще одно письмо, и его снова прочитали на компьютере с ОС Windows. Кто знает, возможно, Тим Кук – убежденный пользователь Windows (ведь он 11 лет работал в IBM), или его переписки с прессой ведет какое-то постороннее PR-агентство. Но это отличный пример того, что отслеживание электронной почты может иметь эффект даже для известных общественных деятелей.
«Во время выборов 2016 года мы отправили электронную почту американским сенаторам и кандидатам на должность президента, – сказал Серусси. – Мы хотели узнать, применили ли они какие-нибудь средства против отслеживания. Как оказалось – нет. Мы смогли узнать про тип их устройств, получить IP-адреса, определить, где они находятся и в каких отелях живут».
Все открывают электронные письма, даже если и не отвечают на них, говорит Серуси. Если вы можете узнать координаты известного человека, просто отправив ему письмо по электронной почте, то это угроза безопасности. И этим инструментом могут злоупотреблять спамеры, преследователи, воры, которые будут рассылать спам-сообщения, чтобы увидеть, где вы находитесь именно сейчас.
Социальная угроза
Еще одна проблема: технологии трекинга электронной почты развиваются. Исследователи в октябре прошлого года проанализировали электронные письма из информационных бюллетеней и служб рассылки с 14 тыс. самых популярных сайтов в интернете и обнаружили, что 85% из них содержат трекеры, а 30% передают email-адрес внешним корпорациям без вашего согласия. Итак, если вы подписались на информационный бюллетень, даже с надежного источника, есть угроза, что электронная почта, которую присылает служба новостей, все же тщательно отслеживается.
Онлайн-ресурсы долгое время собирали информацию про потребителей через веб-отслеживания: привычки просмотра, личный bios и данные о местоположении. Но добавление адреса электронной почты в этот микс создает еще больше оснований для тревоги. В общем такие отслеживания генерируют большой набор данных. И если случится виток этого набора данных, то любой сможет получить доступ к информации, связанной с вашей персоной. И люди даже не будут иметь представления, что такие данные существуют.
Пути защиты от отслеживания электронных сообщений
Поскольку количество простых в использовании и бесплатных продуктов для отслеживания почты с каждым годом увеличивается, более того, некоторые клиенты электронной почты уже стандартно поставляются с функциями трекинга (например, Airmail), нам всем придется жить в цифровом ландшафте, где пересекаются трекеры и анти-трекеры.
Если вы не хотите, чтобы другие люди знали когда и где вы были, что делали и каким устройством пользуетесь – у вас есть варианты. В последнее время появилось много продуктов, которые блокируют трекинг почты – от Ugly Mail к PixelBlock и Senders. Например, Ugly Mail уведомляет вас о том, что электронное сообщение содержит пиксель для трекинга, а PixelBlock блокирует его открытие. Senders предлагает продукт, ранее известный как Trackbuster, для отображения информации (учетную запись Twitter, LinkedIn и др.) отправителя электронного письма, которое вы читаете.
Однако эти методы блокирования трекинга не всегда эффективны, ведь на другой стороне также постоянно совершенствуют свои технологии. Таким образом идет постоянная игра на опережение. Некоторые эксперты считают, что единственный путь защитить пользователей от трекинга электронной почты – это блокировать полностью все изображение. Однако эксперты OMC нашли десятки других способов для отслеживания электронной почты: иногда это цвет текста, иногда это шрифт, пиксель или ссылку. Все это напоминает гонку вооружений, где одна из сторон имеет значительное преимущество.
Когда Серусси запустил Trackbuster в 2014 году, он ожидал всего несколько сотен загрузок. И через несколько часов их было уже 12 тыс. Люди, которые знают про трекинг электронных сообщений и часто сами его используют, стремятся избежать отслеживания со стороны других. Тем не менее, производители email-трекеров были чрезвычайно разочарованы наличием подобных блокираторов. «Нам несколько раз угрожали», – говорит Серусси.
Впрочем, некоторые специалисты убеждены, что Google способен полностью заблокировать технологию отслеживания электронной почты. Особенно если компания начнет обязательно предупреждать пользователей о наличии механизмов отслеживания как в рамках своего сервиса Gmail, так и в других продуктах. Если Google и другие крупные IT-компании не будут двигаться в этом направлении, то Серусси считает, что должно вмешаться правительство, ведь проблема весьма серьезная. «Если крупные компании не хотят ничего делать в этой сфере, должен быть закон, который регулирует определенные виды отслеживания», – говорит он. Но если вообще ничего не будет сделано, то это лишь вопрос времени, когда отслеживание электронной почты начнут использовать для преступных целей, возможно, даже публичным путем. Не исключено, что скоро мы услышим историю о том, что преступники ворвались в чужой дом, поскольку использовали средства отслеживания электронной почты и знали, что владельцы были за городом. Возможно даже, подобные случаи уже произошли, пишет издание Wired.