Digitala tjänster samlar in onödig personlig information

Digitala tjänster som kräver inloggning samlar ofta in mer än nödvändig information om oss användare. Under en internationell forskningskonferens om digitala identiteter vid Karlstads universitet presenteras forskning om metoder som används av tjänsteleverantörer för insamling av personliga information och som kan vara kränkande för vår personliga integritet.

När man registrerar ett konto för att få tillgång till en tjänst på nätet så kräver tjänsteleverantören viss information för att kunna identifiera oss när vi vill ha åtkomst till vårt konto. För att i dessa situationer skydda oss som användare och vår personliga integritet så finns det färdigutvecklade metoder som är tillgängliga och möjliga att bygga in i tjänsterna. Dock väljer många tjänsteleverantörer att använda andra metoder för att istället samla in så mycket information om oss som möjligt och som istället ofta motverkar användarens integritet på nätet.

- Vi har bland annat sett att vissa tjänsteleverantörer ber om information som inte fyller någon funktion för tjänstens huvudsakliga syfte, berättar Lothar Fritsch, forskare i datasäkerhet vid Karlstads universitet. Till exempel ber de om olika uppgifter som de i en försäkran till användaren menar inte kommer visas offentligt eller är skyddade av en användarpolicy. Uppgifterna används sedan för att ta reda på så mycket som möjligt om användaren för att öka sina affärsmöjligheter, vilket inte alls nämns i några överenskommelser.

Även appar utnyttjas för att få åtkomst till information om oss som användare. När vi installerar appar på våra telefoner så kräver de ofta tillgång till vissa saker. Många studier visar att det är svårt för användare att förstå vad man faktiskt ger tillstånd till och när man väl gett sitt tillstånd är det mycket svårt att återkalla det.

För att identifiera användaren och samtidigt hålla den anonym används datafragment. Det finns olika typer av fragment som kan användas för identifiering. Om någon får tillgång till flera olika fragment så kan dessa sättas samman och användaren går därmed att identifiera

- Genom att vi som användare ger appar åtkomst till viss information på våra smarta telefoner så möjliggör vi för aktören bakom appen att identifiera oss. Vi jobbar för att hitta sätt att göra användare medvetna om vad det innebär när appar får åtkomst till viss typ av data på våra smarta telefoner, säger Nurul Momen, forskarstudent inom datavetenskap vid Karlstads universitet.

OID 2017, Open Identity Summit 2017
Den 5-6 oktober arrangeras konferensen OID 2017, Open Identity Summit, vid Karlstads universitet. Konferensen syftar till att föra samman forskare från olika delar av Europa med fokus på forskning om och utveckling av applikationer för identifiering- och åtkomsthantering, tillförlitliga tjänster, öppen källkod, kryptering och molntjänster.

För mer information kontakta Lothar Fritsch på lothar.fritsch@kau.se eller 0047 96885758.

Relaterat innehåll