Малоизвестный сингапурский программист по чистой случайности выяснил, что социальная сеть Path - своего рода помесь Instagram и Foursquare - копирует содержимое адресных книжек владельцев iPhone и iPad к себе на сервера. По самым скромным подсчетам, в базе разработчиков должно храниться несколько десятков миллионов имен, фамилий, адресов и телефонов.
Сервис Path (в переводе с английского - "тропинка" или "дорожка") заработал в ноябре 2010 года. Одним словом его описать сложно - это соцсеть плюс фотобменник плюс геопозиционный сервис плюс что-то еще.
В этом отношении сервис нисколько не уникален: различных мобильных служб, предназначенных для того, чтобы сказать друзьям "доброе утро", запостить фоточку кота или зачекиниться в модном баре, сейчас пруд-пруди. Тем не менее, за год с небольшим Path набрал два миллиона пользователей, что само по себе довольно неплохо. Россиян среди них совсем мало - отчасти из-за того, что интерфейс не переведен на русский язык, отчасти из-за того, что к международной экспансии разработанный в Сан-Франциско сервис пока не приступил. Конечно, до "многомиллионников" наподобие Twitter, Foursquare или Instagram ему еще гнаться и гнаться, но на фоне более мелких конкурентов Path смотрится выигрышно - главным образом за счет симпатичного оформления.
Любому сервису, который называет себя социальным, важно предложить пользователям удобный механизм поиска друзей - иначе вся затея теряет смысл. Path составляет "круг знакомых" пользователя по нескольким источникам - в том числе по адресной книжке в телефоне и по Facebook. Людей, которые уже имеют аккаунты в Path, предлагается добавить в друзья; остальным можно отправить в почту приглашения.
Западные техноблоги регулярно хвалили Path за то, что он такой продуманный, милый и удобный. Еще одним свидетельством популярности сервиса можно считать то, что сторонние разработчики стремились написать под него собственные клиенты. Одним из таких энтузиастов был сингапурский программист Арун Тампи (Arun Thampi). Он с группой единомышленников решил создать клиент для работы с Path для Mac OS X.
Чтобы осуществить задуманное, Арун ковырялся в API приложения Path для iPhone: в частности, с помощью инструмента mitmproxy изучал информацию, которую программа отсылает на сервера Path. То, что он обнаружил, немало его заинтересовало. Выяснилось, что при каждом запуске программы в руки к разработчикам Path отправляется копия адресной книжки его айфона от A до Z - а именно, данные о всех контактах: имена, фамилии, электронные адреса и телефоны. Об этой особенности приложения Арун немедленно написал в свой блог, присовокупив к тексту скриншоты.
Сказать, что в современном мире слова "приватность" и "защита данных" имеют большое значение - все равно, что не сказать ничего. В блог к Аруну немедленно притопали комментаторы - кто-то из них ужасался вероломностью разработчиков Path, кто-то на скорую руку прикидывал, сколько миллионов человек уже угодили в базу данных, кто-то подмечал, что такое поведение приличествует разве что шпионским программам, а не почтенной соцсети. Очень скоро в комментариях отметился Дейв Морин (Dave Morin) - непосредственный руководитель оскандалившегося сервиса.
Ответ Морина озадачил интернетчиков не меньше, чем склонность приложения сливать "на сторону" личные данные. Если вкратце, глава Path написал: "Ну а что в этом такого?". Если более подробно, то Морин пояснил, что сведения из адресных книжек пользователей его компания не продает спамерам, не рассылает хакерам, не публикует в интернете, а просто использует их для того, чтобы "помочь людям быстро и без затруднений отыскать в Path родных и друзей и наладить с ними контакт". По всему следовало, что директор сервиса считает такой метод "сводничества" абсолютно приемлемым и легитимным.
В последнем абзаце, побоявшись перегнуть палку, Морин согласился с некоторыми доводами оппонентов - в частности, признал, что пользователей все-таки стоит извещать о том, как и в каких целях используются их данные. Он заявил, что в клиенте Path для Android уже предусмотрена возможность "не пускать" программу в свою адресную книжку, а в версию для iOS эту функцию встроят вот-вот, буквально на днях.
С одной стороны, встроят и ладно - "слив" контактов на удаленные сервера можно было бы признать мелкой недоработкой, тем более что репутация создателей проекта не позволяет заподозрить в них интернет-злоумышленников (Морин раньше был не последним человеком в Facebook, а еще один основатель Path, Шон Фаннинг (Shawn Fanning), в прошлом запустил легендарный сервис Napster). Но с другой стороны, история с Path создает своего рода прецедент и ставит перед разработчиками программ и обеспокоенными своей безопасностью пользователями сразу несколько вопросов.
Во-первых, прореху в программе обнаружили совершенно случайно. Если бы Арун Тампи не полез внутрь клиента, неизвестно, как скоро пользователи узнали бы о том, что Path копирует контакты и сохраняет их у себя, и узнали ли бы вообще. Сколько еще подобных приложений от менее именитых (и, соответственно, вызывающих меньше доверия) разработчиков может быть в App Store? Кстати говоря, по горячим следам поймали еще по крайней мере одно - им оказался клиент схожего с Path сервиса под красноречивым названием Hipster.
Во-вторых, в интернете, как ни парадоксально, пока не существует четкого определения понятию "личная информация". Каждая компания трактует его по-разному. Так, по правилам Apple, приложения должны заранее сказать пользователю: "Мы хотим получить доступ к информации о твоем местоположении", - однако о своем желании "прочитать" его адресную книгу они вправе умолчать, отмечает блог Uncrunched. В этом свете более выигрышно смотрится Android Market - по его правилам, программа должна сразу выдать пользователю полный список действий, которые она собирается предпринять на его телефоне.
Еще один вопрос - исключительно этический: насколько вообще допустимо брать пресловутые "личные данные" без спросу, пусть даже из самых благих побуждений? "Дейв, скинь мне на мыло копию адресной книжки из своего телефона - написал, обращаясь к Морину, один из пользователей-комментаторов. - Обещаю, что не сделаю с ней ничего плохого". Морин почему-то не ответил.