Группа международных экспертов заявила об обеспокоенности тем, что Яндекс внедрила в свои приложения для мобильных устройств SDK под названием AppMetrica, который позволяет отправлять данные о десятках миллионов пользователей на серверы в РФ.
SDK используются разработчиками для создания приложений. Многие из них бесплатные и дают доступ к личным данным пользователей, чтобы проводить рекламные кампании.
AppMetrica — сервис статистики Яндекса для мобильных приложений, который распространяется в виде библиотеки SDK. Его встраивали в видеоигры, приложения для обмена сообщениями, инструменты для определения местоположения и виртуальные частные сети (VPN).
Первым на проблему обратил внимание исследователь в области кибербезопасности Зак Эдвардс в ходе маркетинговой кампании по аудиту приложений для некоммерческой организации Me2B Alliance.
«AppMetrica SDK предлагает приемлемые условия для компаний, но при этом передаёт в Москву метаданные, которые можно использовать для отслеживания людей на web-сайтах и в приложениях», — говорит он.
В Яндексе признали, что ПО собирает данные об «устройствах, сообществах и IP-адресах», которые хранятся «как в Финляндии, так и в России», однако назвали эту информацию «неперсонализированной и действительно ограниченной».
Между тем бывший инженер Apple Шер Скарлетт считает, что, как только данные о потребителях собраны на российских серверах, Яндекс могут обязать предоставить их федеральному правительству в соответствии с местными законами. Впоследствии метаданные могут использовать для идентификации пользователей.
Яндекс утверждает, что компания собирает информацию только «после того, как приложение получит согласие пользователя» через приложения для Android и iOS. Однако главный специалист в Disconnect Патрик Джексон отмечает, что SDK могут представлять опасность именно потому, что они не запрашивают разрешения, а используют те разрешения, которые потребитель предоставил приложению.
Некоторые разработчики начали удалять AppMetrica после начала спецоперации на территории Украины.
Ранее Латвия запретила работу сервиса «Яндекс.Такси», а также заблокировала мобильное приложение «Яндекс Go» за передачу и хранение данных пользователей на серверах в России. Эксперты заявили, что Яндекс обрабатывает и хранит на своих серверах данные о предлагаемых перевозках и текущих поездках, водителях, транспортных средствах, платежных картах и произведенных клиентами платежах.
В России на Яндекс подали первый коллективный иск из-за утечки данных пользователей сервиса «Яндекс.Еда». К нему присоединились 33 пострадавших клиента, еще 300 заявок находится в обработке. Заявители иска требуют через суд от Яндекса компенсации в размере 100 тысяч рублей за утечку данных каждого пользователя.
