Εάν ασχολείστε με το WordPress τότε σίγουρα θα γνωρίζετε το Akismet: ένα από τα πιο δημοφιλή anti-spam plugins που έρχεται ενσωματωμένο με κάθε νέο installation του WordPress. Και ενώ εκατομμύρια χρήστες ανά τον κόσμο εμπιστεύονται τo Akismet για την εξάλειψη των spam σχολίων, φαίνεται πως υπάρχει ένα σημαντικό ζήτημα προστασίας προσωπικών δεδομένων που οι περισσότεροι χρήστες αγνοούν.
Σύμφωνα με ορισμένες αναφορές, η WordPress.org και η Αutomattic φέρονται να παρέχουν μια λύση προστασίας έναντι του spam που δεν συμμορφώνεται με τα διεθνή πρότυπα και τους νόμους περί ιδιωτικότητας. Μπορεί λοιπόν η χρήση του συγκεκριμένου plugin να αποτελέσει καταφανή παραβίαση του νέου ευρωπαϊκού κανονισμού περί προστασίας δεδομένων (GDPR);
Παρακάτω θα προσπαθήσουμε να αναλύσουμε κατά πόσο αυτό ισχύει και σε ποιο βαθμό.
Υπηρεσίες Anti-Spam και GDPR
Ας πάρουμε τα πράγματα από την αρχή. Για να κατανοήσουμε το πρόβλημα με τις cloud-based υπηρεσίες antispam, θα πρέπει πρώτα να δούμε πως λειτουργούν. Ως σημείο αναφοράς θα πάρουμε το Akismet, έχοντας κατά νου ότι αποτελεί μόνο ένα μέρος μιας ευρύτερης εικόνας.
Οι cloud based υπηρεσίες του είδους λειτουργούν διατηρώντας βάσεις δεδομένων με τα υποβληθέντα σχόλια των χρηστών στους διακομιστές τους. Όταν ένας χρήστης υποβάλει ένα σχόλιο σε ένα site που χρησιμοποιεί το Akismet, οι πληροφορίες του μεταφέρονται σε έναν τρίτο διακομιστή, χωρίς να έχει πλέον τον έλεγχο αυτών. Ο διακομιστής επεξεργάζεται και αξιολογεί τα σχόλια, τα αποθηκεύει στη βάση δεδομένων του και τα ταξινομεί ως spam ή μη spam.
Συλλογή ευαίσθητων προσωπικών δεδομένων
Κάθε σχόλιο που ελέγχεται από το Akismet περιέχει μια σειρά από δεδομένα τα οποία περιλαμβάνουν μεταξύ άλλων, τα ακατέργαστα δεδομένα των σχολίων, τα ονόματα, τις διευθύνεις ΙP και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών. Bάσει GDPR όλα αυτά αποτελούν προσωπικά δεδομένα, ή αλλιώς στοιχεία προσωπικής ταυτοποίησης (Personally Identifiable Information).
Παρότι δεν υπάρχει τίποτα μεμπτό στην αξιολόγηση αυτών των δεδομένων για λόγους anti-spam προστασίας και ασφάλειας, τα προβλήματα ξεκινούν με την αποστολή των δεδομένων σε τρίτους διακομιστές, τον μη σαφή τρόπο επεξεργασίας τους και την επ’ αόριστον αποθήκευσή τους.
Οι διακομιστές αυτοί βρίσκονται σε άλλες χώρες και διέπονται από διαφορετικούς νόμους. Για παράδειγμα, οι βασικοί servers του Akismet βρίσκονται στις Ηνωμένες Πολιτείες. Παρότι η εταιρεία φαίνεται να έχει επεκτείνει τα datacenter της και σε ευρωπαϊκές χώρες, δεν φαίνεται να μπορεί να εγγυηθεί σε ποια χώρα θα γίνει η επεξεργασία των δεδομένων και κάτω υπό ποιες συνθήκες.
Επιπλέον δεδομένου ότι δεν υπάρχει τρόπος να χρησιμοποιήσει κανείς την υπηρεσία χωρίς να σταλούν διευθύνσεις IP και emails, τα ευαίσθητα αυτά δεδομένα που συλλέγονται υποχρεωτικά από την εταιρεία ενδέχεται να υπόκεινται σε ελλιπείς πολιτικές προστασίας δεδομένων και ελλιπείς μηχανισμούς ασφάλειας των χρηστών.
Με απλά λόγια: Ο τελικός χρήστης που υποβάλει το σχόλιο δεν έχει κανέναν έλεγχο πάνω στα δεδομένα του ή στο απόρρητο. Επί του παρόντος, δεν υπάρχουν υπηρεσίες anti-spam που να βασίζονται σε cloud, οι οποίες να είναι πλήρως συμμορφωμένες με το GDPR, συμπεριλαμβανομένου του Akismet. Αυτοί οι τύποι υπηρεσιών θα μπορούσαν εύκολα να χρησιμοποιηθούν (ή να καταστρατηγηθούν) για τη συλλογή δεδομένων που θα μπορούσαν να πωληθούν σε αγοραστές δεδομένων και εμπόρους. Αρκετοί είναι μάλιστα αυτοί που υποπτεύονται ότι κάτι τέτοιο συμβαίνει ήδη, ειδικά μετά το σκάνδαλο με το Facebook. Είναι η Automattic / Akismet το επόμενο Facebook; Είναι ο Matt Mullenweg ο επόμενος Mark Zuckerberg; Δεν ξέρουμε. Η δυσάρεστη αλήθεια είναι ότι οι μεγάλες εταιρείες δεν έχουν τη συνήθεια να αποτιμούν την ιδιωτική ζωή των χρηστών, οπότε οι χρήστες θα πρέπει να αρχίσουν να φροντίζουν οι ίδιοι για την προστασία της ιδιωτικής τους ζωής.
Aνασφαλής μετάδοση σχολίων μέσω HTTP;
Τα προβλήματα που επηρεάζουν την ιδιωτικότητα και την ασφάλεια των χρηστών δεν φαίνεται να τελειώνουν εδώ. Ένα ακόμη σημαντικό ζήτημα για την ασφάλεια είναι ότι το Αkismet δεν κάνει enforce την χρήση συνδέσεων SSL/TLS (HTTPS) κατά την αποστολή δεδομένων από τις ιστοσελίδες που το χρησιμοποιούν στους Servers της υπηρεσίας.
Ας ρίξουμε μια ματιά στον κώδικα του plugin (στο version: 4.0.7)
/* Try SSL first; if that fails, try without it and don't try it again for a while.*/ $ssl = $ssl_failed = false;
Αυτό σημαίνει πως αν η χρήση HTTPS αποτύχει για κάποιο λόγο ή ο server δεν έχει το κατάλληλο configuration, το Akismet δεν θα χρησιμοποιήσει ΗΤΤPS.
Εάν συμβεί κάτι τέτοιο θα αποθηκευτεί στις ρυθμίσεις του plugin αποτρέποντας τη χρήση ΗΤΤPs και για μελλοντικές συνδέσεις.
// The request failed when using SSL but succeeded without it. Disable SSL for future requests.
if ( $ssl_failed ) { update_option( 'akismet_ssl_disabled', time() ); do_action( 'akismet_https_disabled' ); }
Mε άλλα λόγια, τα δεδομένα που θα μεταφερθούν στους servers του Akismet δεν θα είναι καν κρυπτογραφημένα, αλλά θα σταλούν σε clear text και θα μπορούν εύκολα να υποκλαπούν από επιτιθέμενους.
Φυσικά, αυτό έρχεται σε αντίθεση με μια ακόμη από τις βασικές αρχές του GDPR, την προστασία των δεδομένων by design, πράγμα που σημαίνει ότι πρέπει να χρησιμοποιoύνται ασφαλείς πρακτικές κατά την κωδικοποίηση, ενώ τα χαρακτηριστικά προστασίας δεδομένων πρέπει να ενσωματώνονται στη λειτουργικότητα εξ αρχής.
Το μόνο σίγουρο είναι πως η συμμόρφωση με το GDPR απαιτεί πολύ περισσότερα από τη χρήση ασφαλών συνδέσεων. Ακόμη και εάν η Automattic / Akismet λάμβανε καλύτερα μέτρα και για την ενίσχυση των πολιτικών προστασίας των δεδομένων της, θα ήταν πολύ δύσκολο να συμμορφωθεί πλήρως με τον GDPR. Μένει να δούμε τα επόμενα βήματα της εταιρείας προς αυτή την κατεύθυνση, καθώς μέχρι στιγμής φαίνεται να αδυνατεί να ανταποκριθεί στις απαιτήσεις του ευρωπαϊκού κανονισμού.