3 transakcje wystarczą, żeby zidentyfikować ciebie i twoją kartę

fot. © Scanrail - Fotolia.com

fot. © Scanrail - Fotolia.com

karty kredytowe i kłódka

fot. © Scanrail – Fotolia.com

Wyniki badań pokazują, że ktoś kto zna kilka naszych ostatnich zakupów może nas łatwo znaleźć w bazie transakcji wykonywanych kartami płatniczymi. Nawet jeśli w bazie nie ma naszych danych osobowych i numeru karty.

W najnowszym numerze Science ukazał się artykuł, w którym przedstawione są wyniki prób zidentyfikowania kart kredytowych po pojedynczych transakcjach. Badania przeprowadzono na bazie zawierającej dane z ostatnich trzech miesięcy dla 1,1 miliona kart kredytowych.

Wyniki badań mogą przerażać. Znając daty i miejsca zaledwie 4 transakcji można z prawdopodobieństwem 90% zidentyfikować kartę w bazie danych. Jeżeli dodatkowo znana jest wydana kwota, to już przy 3 transakcjach to prawdopodobieństwo wynosi 94%. Wszystkie te dane nie muszą być dokładne. To znaczy, że jeżeli ktoś wejdzie w posiadanie trzech twoich paragonów to może wyciągnąć z bazy wszystkie inne twoje dane. A nawet więcej – paragony nie są potrzebne, wystarczą zdjęcia na Instagramie z obiadem, który zamówiłeś w restauracji lub wpisy na Facebooku o kupieniu nowego telefonu.

Kobiety i bogacze są najłatwiejszym łupem

Oprócz badań ogólnych przeanalizowano również jak płeć i zamożność wpływa na możliwość identyfikacji. Okazuje się, że zachowania zakupowe kobiet są bardziej unikalne i przez to nieco łatwiej je zidentyfikować niż mężczyzn. Natomiast jeśli chodzi o poziom zamożności, to stosunkowo najtrudniej jest ustalić tożsamość osób biednych. Wraz ze wzrostem dochodów prawdopodobieństwo identyfikacji rośnie. Prawdopodobnie dopiero kiedy mamy dużo pieniędzy możemy je wydawać swobodnie i zgodnie ze swoim unikalnym gustem.

Nie tylko bazy kart kredytowych

Yves-Alexandre de Montjoye

Yves-Alexandre de Montjoye
foto: Bryce Vickmark / MIT

Wcześniej podobne wyniki otrzymano badając bazę danych telefonów komórkowych. Też wystarczyło tylko kilka rekordów, aby zidentyfikować dany telefon. „Jeżeli udowodnimy to dla kilku zbiorów danych, to najprawdopodobniej będzie to prawdziwe w ogólności” – twierdzi Yves-Alexandre de Montjoye, pierwszy autor obu prac, doktorant na Massachusetts Institute of Technology. Prawdopodobnie taka własność tych baz danych wynika wprost z prawidłowości rządzących zachowaniem ludzi.

Kto ma dostęp do naszych danych?

Wydawałoby się, że nie ma co panikować, bo w końcu tego typu bazy danych są pilnie strzeżone. Owszem, ale jest kilka spraw, na które trzeba zwrócić uwagę. Po pierwsze nie ma takich zabezpieczeń, których nie da się złamać. Każda baza danych może wpaść w ręce hackerów. Po drugie firmy i rządy zbierają takie dane za naszą zgodą i bez niej. A nie wszystkie rządy są przyjaźnie do nas nastawione. Po trzecie i chyba najważniejsze wiele takich baz jest dostępnych publicznie. W Stanach Zjednoczonych wystarczy usunąć takie dane jak: imię, nazwisko, adres i numer karty, a baza może być upubliczniona (np. do celów statystycznych). A jak wynika z badań to nie wystarczy, żeby uniemożliwić ustalenie tożsamości użytkowników.

Czy zatem powinniśmy walczyć z „big data”? Mogłoby to być wylanie dziecka z kąpielą. „Naprawdę wierzymy, że te dane mają duży potencjał i powinny być używane” – twierdzi de Montjoye i dodaje: „Jednak powinniśmy być świadomi i potrafić ocenić ryzyko reidentyfikacji.

Na pewno nie zaszkodzi wrzucać paragonów do niszczarki i ostrożnie publikować na portalach społecznościowych swoje poczynania.

Bądź na bieżąco!
Zapisz się na nasz bezpłatny newsletter.