Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Emlékeznek rá, mikor gyerekek voltak? Valószínűleg volt egy kedvenc játékuk, ami mindig önökkel volt, mint Róbert Gidának Micimackó. Képzeletük pedig végtelen kalandokra vitte önöket. Mi lehetne ártatlanabb ennél? Igen; hadd mutassam most be barátomat, Caylát.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Caylát a világ több országában az év játékának szavazták. Rákapcsolódik az internetre, és hangfelismerő technológiát alkalmazva válaszolja meg a gyerekeik kérdéseit; pont úgy, mint egy barát. De ez a játék nem a gyerekük képzelőerejét erősíti, Sokkal inkább a személyes információk tömegét begyűjtő vállalatok erejét, mialatt a családjuk ártatlanul csacsog otthonuk biztonságában, veszélyesen téves biztonságtudatban. Az eset nálam vészharangot kongatott, mivel a munkám a hazai fogyasztóvédelem, és eszközök milliárdjait – pl. autókat fogyasztásmérőket, sőt még porszívókat is – várják az internetre 2020-ra. Úgy véltük, érdemes kicsit jobban megvizsgálnunk, ami történik. Merthogy, mit is kezd Cayla a rengeteg általa megtanult érdekes dologgal? Van talán egy másik, régebbi barátja is, akivel hűen megosztja információit? Eltalálták. Van bizony. Ahhoz, hogy játszhassunk Caylával, le kell tölteni egy appot, hogy minden funkciója elérhető legyen. A szülőknek el kell fogadniuk a feltételek közlés nélküli változtatásait. Amit a baba felvesz – barátokat és a családot –, felhasználható célzott hirdetésre. Az így megszerzett információ megosztható ismeretlen harmadik felekkel.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
Ennyi lenne? Nem egészen. Okostelefonnal bárki rákapcsolódhat Caylára adott távolságon belül. Amikor szembesítettük ezekkel a Caylát gyártó és programozó céget, a cég nyilatkozatokat adott ki, miszerint IT szakembernek kell lenni a biztonsági szabályok kijátszásához. Teszteljük a nyilatkozatot, hekkeljük meg Caylát élőben együtt! Íme ő. Cayla bluetoothszal van felszerelve, vételi távolsága kb. 18 méter, picit kevesebb, ha fal választja el. Eszerint, akár én, akár egy idegen rákapcsolódhat Caylára a szobán kívülről is, ahol épp ő és barátai tartózkodnak. Hogy szemléltessem mindezt, bekapcsolom most Caylát. Lássuk csak: egy, kettő, három. Kész. Megy. Felkértem egy kollégát, hogy álljon odakint az okostelefonjával – már rákapcsolódott Caylára. És hogy tovább borzoljuk a kedélyeket ...
(Laughter)
(Nevetés)
let's see what kids could hear Cayla say in the safety of their room.
lássuk, mit hallhatnak a gyerekek Cayla szájából, szobájuk biztonságában.
Man: Hi. My name is Cayla. What is yours?
Férfi: Szia. A nevem Cayla. És a tied?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Ööö, Finn.
Man: Is your mom close by?
Férfi: Ott van az anyukád?
FM: Uh, no, she's in the store.
FM: Ööö, nincs, elment a boltba.
Man: Ah. Do you want to come out and play with me?
Férfi: Aha. Van kedved kijönni, és játszani velem?
FM: That's a great idea.
FM: Nagyszerű ötlet.
Man: Ah, great.
Férfi: Szuper!
FM: I'm going to turn Cayla off now.
FM: Most kikapcsolom Caylát.
(Laughter)
(Nevetés)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Nem kellett jelszót használnunk, és más biztonsági beállításokat sem kellett megkerülni. Kiadtunk egy jelentést a világ 20 országában, felfedve e súlyos biztonsági mulasztást és egy sereg más problémás témát. Erre mi történt? Caylát betiltották Németországban, Lekerült az Amazon és a Wal-Mart polcairól, és jelenleg békésen pihen a Német Kémmúzeumban, Berlinben.
(Laughter)
(Nevetés)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Jóllehet Cayla továbbra is elérhető volt az üzletek polcain szerte a világban még több mint egy évvel a jelentés megjelentetése után is. Feltártuk, hogy alig véd szabály minket, és ami van, az sem jut megfelelő érvényre. Gondoskodnunk kell e szerkentyűk biztonsági és adatvédelmi jellemzőiről, még mielőtt a piacra kerülnének, mert mi értelme kulcsra zárni egy házat, ha bárki bejuthat online eszközzel is?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Okkal gondolhatják: "Velem ez nem történhet meg. Simán távol tartom magam ezektől a megbízhatatlan eszközöktől." De ettől még nem lesznek biztonságban, mert pusztán azzal, hogy felmennek az internetre, máris egy lehetetlen "kell-vagy-sem?" helyzetbe kerülnek.
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Hadd mutassam meg. Csakúgy mint legtöbbjüknek, több tucat alkalmazás van a telefonomon. Megfelelően használva ezek könnyebbé, kényelmesebbé és tán egészségesebbé is teszik az életet. De nem ringattak bele minket valami hamis biztonságérzetbe? Úgy kezdődik, hogy beikszelünk egy kockát. Ó igen, állítjuk. Elolvastam a feltételeket. De tényleg elolvasták? Biztos, hogy nem volt túl hosszú a szöveg, és a telefonjuk sem volt merülőben? Aztán elolvasták volna legutóbb is, ha nem lett volna érthetetlen, és az appra azonnal szükség. És már létre is jött az erőegyenlőtlenség, mert hozzájárultunk személyes adataink elképzelhetetlenül széles körű átadásához és felhasználásához.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Ezért döntöttünk úgy kollégáimmal, hogy ennek a mélyére ásunk. Elhatároztuk, hogy elolvassuk feltételeit egy átlagtelefon népszerű appjainak. és bemutatjuk a világnak, mennyire életszerűtlen elvárni a felhasználóktól, hogy el is olvassák azokat. Kinyomtattuk a több mint 900 oldalnyi anyagot, beültünk az irodánkba és hangosan felolvastuk őket, élőben közvetítve a kísérletet weboldalainkon. Amint láthatják, eltartott egy darabig. Pontosan 31 órát, 49 percet és 11 másodpercet vett igénybe az átlagtelefonon lévő feltételek felolvasása. Ez hosszabb, mint egy teljes Harry Potter mozimaraton és a Keresztapa-trilógia együttvéve.
(Laughter)
(Nevetés)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
És csak az elolvasásnál tartunk. Az olvasottak megértése már más történet. Ez újabb hosszú órákat jelentett volna. És ez valós probléma, mert a cégek 20-30 éve érvelnek az internet szigorúbb szabályozása ellen, mondván, hogy a felhasználók elfogadták a felhasználási feltételeket.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Ahogy azonban kísérletünk megmutatta, megalapozott hozzájárulást beszerezni a lehetetlennel határos. Önök szerint fair dolog a felelősség terhét a felhasználókra tenni? Szerintem nem. Követelnünk kellene a "kell- vagy-sem" kitételek visszaszorítását, és a feltételek érthetőbb megfogalmazását, mielőtt elfogadnánk azokat.
(Applause)
(Taps)
Thank you.
Köszönöm.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Most pedig elmondanék egy történetet a szerelemről. A világon a legnépszerűbb alkalmazások között vannak a társkeresők. Egy évi 3 milliárd dollárt is meghaladó, vagy eközeli értékű szektorról beszélünk. És persze, szívesen megosztunk magunkról bizalmas részleteket életünk párjával. De ki más szaglászik még ott, menti el és osztja meg információinkat, mialatt mi lemeztelenítjük lelkünket? Ezt akartuk kinyomozni csapatommal. Hogy a kérdést minden szemszögből megértsük, és igazán alapos munkát végezhessünk, nekem magamnak is le kellett töltenem a világ egyik legnépszerűbb randialkalmazását.
So I went home to my wife ...
Hazamentem tehát a feleségemhez ...
(Laughter)
(Nevetés)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
akivel friss házasok voltunk. "Nem bánod, ha létrehozok egy profilt egy igen népszerű randiappon, pusztán tudományos célból?"
(Laughter)
(Nevetés)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
A következők derültek ki. A főmenü mögé bújtatva ott volt egy előre kipipált nyilatkozat, mely hozzáférést enged a társkereső cég számára valamennyi Facebook képemhez. Esetemben több mint 2000 képről beszélünk, némelyik meglehetősen személyes. Hogy tovább tetézzem a dolgot, elolvasva a felhasználási feltételeket, az alábbiakat fedeztük fel. Most pedig előveszem az olvasószemüvegemet, és felolvasom a lényeget, mert elég bonyolult. Rendben.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Tartalom feltöltésével" - tartalmon fotók, csevegések és egyéb a társkeresőn bonyolított érintkezések értendők –, "a szolgáltatás részeként, ön automatikusan a cég, a cégcsoport, engedélyesei és jogutódjai részére visszavonhatatlan" – tehát nem másítható – "folytonos" – tehát örökké tartó –, "nem-kizárólagos, átruházható, továbbadható, követelésmentes, globális engedélyt ad, hogy használja, tárolja, közzé tegye, reprodukálja, rögzítse, lejátssza, átírja, módosítsa és megossza a tartalmat, abból származtatott munkát készítsen, vagy más munkákkal egyesítse. A fentieknek pedig alliencet ad minden mostani vagy utóbb létrehozott médiumra."
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Ez lényegében azt jelenti, hogy az ön teljes randi-dokumentációja, és a hozzákapcsolódó információk mindig és bármely célra szabadon felhasználhatók. Képzeljék el, ahogy gyermekük 20 év múlva meglátja pikáns randifotóikat egy születésszabályozási reklámban.
But seriously, though --
De most komolyan:
(Laughter)
(Nevetés)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
Mik származhatnak az ilyen jogátruházó gyakorlatból? Például anyagi károk: böngészési szokásaik alapján algoritmusok határozhatják meg, kaphatnak-e jelzáloghitelt. Tudatalatti manipuláció: a cégek elemezhetik érzelmeiket a felrakott fotók és csevegések alapján, és hirdetésekkel bombázhatnak legkiszolgáltatottabb állapotukban. Diszkrimináció: egy fitnesz app egészségbiztosítónak adhatja el adatait, kizárva önöket a jövőben a biztosítotti körből. Mindez a világban zajlik ma.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Természetesen nem minden adatfelhasználás rosszhiszemű. Némelyik pusztán felületes vagy kidolgozatlan, némelyik tényleg klassz. És jó hírem is van. A randicégek, miután jogsértést jeleztünk, világszerte változtattak szabályzataikon. De a cégemhez hasonlók, melyek fogyasztói jogokért harcolnak, nem lehetnek ott mindenütt. A fogyasztók sem tudják ezt egymaguk megoldani, mert ha tudjuk, hogy valami ártatlan szavunk kísérteni visszatér, nem nyitjuk ki többé szánkat. Ha tudjuk, hogy megfigyelnek és lehallgatnak minket, változtatunk a magatartásunkon. És ha nincs ellenőrzésünk afelett, ki és mire használja az adatainkat, elveszítjük ellenőrzésünk életünk felett.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
A ma általam elmesélt történetek nem elszigetelt példák. Mindenütt megesnek, és a dolgok változásának szükségét mutatják. Hogyan érhetjük el e változást? A cégeknek fel kell ismerniük a magánélet biztonságának fontosságát, hogy bizalmat és hűséget keltsenek felhasználóikban. A kormányoknak biztonságosabbá kell tenniük az internetet naprakész szabályok érvényre juttatásával. És mi, állampolgárok? Felemelhetjük hangunkat, hogy ráébresszük a világot: a technológia csak akkor lehet a társadalom javára, ha tiszteletben tartja alapvető jogainkat.
Thank you so much.
Nagyon köszönöm.
(Applause)
(Taps)