Yik Yak, aplikacja działająca jako lokalna anonimowa tablica ogłoszeń, umożliwia znajdowanie dokładnych lokalizacji użytkowników i unikalnych identyfikatorów, Płyta główna raporty. Badacz, który przeanalizował dane Yik Yak, był w stanie uzyskać dostęp do dokładnych współrzędnych GPS, skąd pochodziły posty i komentarze, z dokładnością do 10 do 15 stóp, i mówi, że przyniósł jego odkrycia do firmy w kwietniu.
Po raz pierwszy wprowadzony na rynek w 2013 roku, Yik Yak był popularny na kampusach uniwersyteckich, gdzie często był używany do plotkowania, publikowania aktualizacji i cyberprzemoc inni studenci. Po słabnącym znaczeniu i nieudanych próbach moderacja treści, aplikacja została zamknięta w 2017 roku, by w zeszłym roku zmartwychwstać. W listopadzie, firma powiedziała minął 2 miliony użytkowników.
Płyta główna rozmawiał z Davidem Teatherem, studentem informatyki z Madison w stanie Wisconsin, który zgłosił obawy dotyczące bezpieczeństwa Yik Yak i opublikował swoje odkrycia w wpis na blogu. Aplikacja pokazuje wpisy od pobliskich użytkowników, ale wyświetla tylko przybliżoną lokalizację, na przykład „w odległości około 1 mili”, do pięciu mil, aby dać użytkownikom poczucie, skąd pochodzą aktualizacje w ich pobliskiej społeczności.
Chociaż Yik Yak obiecuje anonimowość, Teather wskazuje, że połączenie współrzędnych GPS i identyfikatorów użytkowników może pozbawić użytkowników anonimowości i dowiedzieć się, gdzie mieszkają ludzie, ponieważ wielu z nich prawdopodobnie używa go w domu, a dane są dokładne z dokładnością do 10 do 15 stóp. Ta kombinacja informacji może zostać wykorzystana do śledzenia lub obserwowania konkretnej osoby, a Teather wspomina, że ryzyko może być wyższe w przypadku osób mieszkających na obszarach wiejskich, gdzie domy są oddalone od siebie o więcej niż 10 do 15 stóp, ponieważ lokalizacja GPS może zawęzić liczbę użytkowników do jeden adres.
Jak Płyta główna raporty, dane są dostępne dla naukowców, takich jak Teather, którzy wiedzą, jak używać narzędzi i pisać kod w celu wyodrębnienia informacji — ale ryzyko było na tyle realne, że skłoniło Teather do zwrócenia na nie uwagi Yik Yak.
Odkryłem, że @JikJak ujawnia miliony lokalizacji użytkowników, wysyłając do aplikacji dokładne współrzędne GPS wszystkich postów i komentarzy (z dokładnością do 10-15 stóp), które mogą być zbierane przez złośliwych aktorów w celu śledzenia lokalizacji użytkowników.https://t.co/pgT809okv7
— David Teather (@david_teather) 9 maja 2022
„Ponieważ identyfikatory użytkowników są trwałe, możliwe jest ustalenie, kiedy i skąd użytkownik publikuje YikYaks, można to wykorzystać do ustalenia codziennej rutyny konkretnego użytkownika YikYak”, pisze Teather. Wymienił inne sposoby, w jakie można nadużywać danych, na przykład dowiedzieć się, gdzie ktoś mieszka, monitorować użytkowników lub włamać się do czyjegoś domu, gdy ich tam nie ma.
Yik Yak nie odpowiedział na prośbę o komentarz od Pobocze.
Według Płyta główna, Najnowsza wersja aplikacji wydana przez Yik Yak nie ujawnia już dokładnej lokalizacji i identyfikatorów użytkowników, ale Teather twierdzi, że nadal może uzyskać te informacje, korzystając z poprzednich wersji aplikacji.
„Gdyby YikYak potraktował to poważniej, ograniczyłby zwracanie tych pól i zepsułby starsze wersje oraz zmusiłby użytkowników do uaktualnienia do nowszej wersji aplikacji” – napisał w poście na blogu.