AKTUALIZACJA (21-02-2005 21:20):
Firma prowadząca badanie przesłała mi dodatkowe wyjaśnienia, które tym razem pozwalają mi uwierzyć, że opisane zagrożenie utraty prywatności nie dotyczy obecnych i przyszłych uczestników badania PBI/Gemius Megapanel, a jedynie niektórych byłych, którzy źle odinstalowali program netPanel. Te osoby będą mogły wkrótce mogą wymazać wpisy o swoim numerze npUID dzięki specjalnemu programowi.
Jednocześnie chciałbym zwrócić uwagę, że rozpoznawanie odwiedzających przez właścicieli stron jako tych samych osób, które wcześniej odwiedziły dane strony, jest możliwe do realizacji (i bardzo często realizowane) dzięki permanentnym plikom cookies, które prawdopodobnie 99% Internautów akceptuje nie zdając sobie nawet z tego sprawy. Dodatkowa możliwość rozpoznawania odwiedzających po identyfikatorze npUID nie jest zatem czymś przerażającym. Można powiedzieć, że mogłoby to być problematyczne, ale tylko dla osób paranoidalnie podchodzących do kwestii ochrony prywatności -- jak ja.
AKTUALIZACJA (21-02-2005 16:20):
Firma przeprowadzająca badanie (Gemius S.A.) przesłała odpowiedź, z której wynika, że problem dotyczy tylko testowej wersji aplikacji netPanel, a osoby nadal ujawniające odwiedzanym serwerom swój numer w badaniu (npUID), to ci, którzy nieprawidłowo przeprowadzili deinstalację "wszystkich komponentów aplikacji" (?) w testowej wersji. W uzupełnieniu odpowiedzi podano, że testy były przeprowadzane praktycznie w całym 2004 roku, a pod koniec grudnia ubiegłego roku mogły dotyczyć do 20 tys. osób (dla porównania, w listopadzie 2004 wielkość próby w badaniu wynosiła 17,5 tys., według informacji prasowych portalu Interia.pl).
Z moich wyliczeń wynika, że problem nadal może dotyczyć tylu użytkowników, ponieważ z 450 tys. unikalnych użytkowników, którzy w minionym tygodniu odwiedzili strony www.kurnik.pl, było 1,2 tys. takich, którzy ujawniali swój npUID (czyli 0,26% z 450 tys. UU). Biorąc pod uwagę, że tygodniowo wszystkich unikalnych użytkowników na polskich stronach jest ponad 7 mln. (według ranking.pl), to z prostego rachunku wynika, że problem nadal dotyka prawie 20 tys. (!) osób.
W otrzymanej odpowiedzi znajduje się też informacja, że aktualnie jest przygotowywany "specjalny program, którzy umożliwi byłym uczestnikom badania (...) usunąć zbędne wpisy" (tj. numer w badaniu) i być może będzie dostępny na stronach badania jeszcze dzisiaj. Jest także wyjaśnienie, że przyczyną braku wcześniejszych odpowiedzi Gemius S.A na listy poruszające opisany tutaj problem, była "epidemia grypy", która położyła do łóżka znaczną cześć ich zespołu.
Udział w internetowym badaniu PBI/Gemius Megapanel, polegający na zainstalowaniu na swoim komputerze specjalnego programu NetPanel do monitorowania aktywności internetowej, powoduje, że przeglądarka WWW przy pobieraniu stron przesyła do każdego odwiedzanego serwera unikalny identyfikator uczestnika badania (npUID). Na podstawie tego identyfikatora właściciele stron są w stanie rozpoznać odwiedzającego jako tę samą osobę, jeśli już wcześniej odwiedzała ich strony, nawet po usunięciu z komputera wszystkich plików cookies i zmianie adresu IP.
Na stronach zachęcających do wzięcia udziału w badaniu (www.pbi.org.pl) nie ma jakichkolwiek informacji o zagrożeniu utraty prywatności uczestników, a listy w tej sprawie, skierowane zarówno do firmy przeprowadzającej badanie, tj. Gemius S.A., jaki i organizatora badania, spółki Polskie Badanie Internetu, wysłane dwa tygodnie temu, pozostały bez odpowiedzi.
Przykładowe informacje o systemie wysyłane z dodatkowym identyfikatorem uczestnika badania:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon; SV1;
NetPanel:1144573; npUID:1144573)
Mozilla/4.0 (compatible; MSIE 5.01; Windows 98; exNetPanel:861895; npUID:865361)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; MyIE2; exNetPanel:956219; npUID:956219)
Informacje przesłane przez Twoją przeglądarkę przy pobieraniu tej strony:
CCBot/1.0 (+http://www.commoncrawl.org/bot.html)
Ostrzeż innych Internautów! Może nagłaśniając sprawę organizator badania raczy poważnie traktować kwestie ochrony prywatności i rzetelnie informować potencjalnych uczestników o czyhających ich niebezpieczeństwach.
Marek Futrega
futrega (at) gmail.com
19-02-2005