Как уведомления о прочтении email раскрывают информацию о вашем устройстве: Руководство по защите приватности

Утечка информации об отдельном устройстве

• Программное обеспечение почтового клиента выявлено в 28% изученных писем, обнаруживаемое через теги X-Mailer и User-Agent, которые явно идентифицируют iPhone Mail с конкретными номерами сборок или другими вариантами почтового ПО
• IP-адреса устройств обнаружены в 35% проанализированных писем, преимущественно внутренние адреса через теги Received, чаще всего в письмах, отправленных с мобильных телефонов
• Информация об интернет-провайдере встречалась в 8% писем, обычно в первом теге Received и чаще всего в сообщениях с мобильных устройств

Раскрытие организационной информации

Помимо утечки на уровне отдельных устройств, организационная информация становится очевидной в заголовках писем с поразительной ясностью:

• Названия и адреса работодателей могли быть определены в 78% и 76% писем соответственно с помощью директорий Whois и сервисов геолокации IP
• Конфигурации внутренних сетевых IP-адресов узнавались в 37% писем, показывая, используют ли компании специфические диапазоны IP-адресов, которые различаются между организациями
• Используемые системы безопасности предприятий выявляли информацию в 26% писем, при этом в заголовках встречались конкретные версии программного обеспечения для защиты электронной почты, что позволяло злоумышленникам нацеливаться на известные уязвимости

Исследование рисков конфиденциальности метаданных электронной почты демонстрирует, что эту информацию невозможно зашифровать полностью end-to-end, так как она необходима для самой базовой функции электронной почты — определения, откуда пришло сообщение и куда его доставить. Это фундаментальное архитектурное ограничение означает, что даже при использовании надежного шифрования содержимого внешние наблюдатели могут видеть обширную информацию о ваших коммуникациях.

Как работает тихое отслеживание уведомлений о доставке

Атака использует реакции на сообщения, их редактирование и удаление, которые вызывают подтверждения доставки, но генерируют минимальные или отсутствующие уведомления для пользователя. Исследователи обнаружили, что время получения уведомления о доставке меняется, когда пользователь активно взаимодействует с приложениями:

• Обнаружение активного взаимодействия: время ответа около 300 миллисекунд, когда приложение на переднем плане, по сравнению с значительно медленными ответами в свернутом состоянии
• Отслеживание на нескольких устройствах: каждое устройство отвечает независимо своим подтверждением, позволяя злоумышленникам определить точное количество используемых устройств
• Вывод поведенческих паттернов: систематический анализ времени выявляет распорядок дня, график сна, пути до работы и присутствие в офисе без изучения содержания сообщений

Эти временные вариации позволяют злоумышленникам точно рассчитывать показатели времени экрана и оценивать длительность взаимодействия с конкретными приложениями, при этом получатели не подозревают, что происходит слежка. Уязвимость сохраняется, потому что уведомления о доставке являются фундаментальной частью инфраструктуры обмена сообщениями, которую сложно отключить без нарушения базовой функциональности.

Корпоративная поведенческая аналитика и профилирование

Исследования поведенческой аналитики в системах электронной почты показывают, что помимо отслеживания с помощью пикселей, сложные корпоративные системы безопасности электронной почты создают подробные поведенческие профили для каждого пользователя и организации. Эти системы назначают баллы приоритетов расследования, определяющие вероятность выполнения конкретными пользователями определённых действий на основе изучения поведения пользователей и их коллег.

Продвинутые системы поведенческой аналитики отслеживают:

• Типичные времена и места входа в систему, чтобы установить базовые поведенческие паттерны
• Частоту коммуникаций с определёнными контактами и группами
• Паттерны использования устройств на телефонах, планшетах и компьютерах
• Взаимоотношения с получателями и вывод организационной иерархии
• Характеристики сообщений, включая стиль написания и предпочтения форматирования

При накоплении данных за месяцы или годы эти паттерны статуса прочтения позволяют сложным системам реконструировать полные профили поведения в коммуникациях, раскрывая графики работы, приоритеты отношений, маршруты путешествий и организационные иерархии без необходимости изучения фактического содержимого сообщений.

Как на самом деле работает Защита конфиденциальности Mail

Когда почтовый ящик получает сообщение от отправителя, приложение Mail загружает сообщение и все содержащиеся в нем изображения, вызывая активацию пикселей отслеживания и показывая отправителям, что сообщения были открыты, даже если они остаются непрочитанными в почтовом ящике получателя. Это создаёт ситуацию, когда меры защиты конфиденциальности, призванные предотвратить отслеживание, фактически создают вводящие в заблуждение данные об открытиях, в то время как инфраструктура отслеживания остается без изменений.

Подробное руководство Twilio по Защите конфиденциальности Mail объясняет, что когда отправитель посылает письмо пользователю Apple Mail с включенной MPP, Apple кеширует всё письмо на своем сервере и загружает все изображения, включая пиксели отслеживания, что воспринимается провайдером электронной почты как открытие письма, даже если конечный пользователь мог его вовсе не открыть.

Непредвиденные последствия для функциональности электронной почты

Влияние Защиты конфиденциальности Mail выходит за пределы искажения показателя открытий, затрагивая более широкую функциональность кампаний по электронной почте:

• Сбои при автоматической повторной отправке: если ваша кампания настроена на автоматическую повторную отправку важного уведомления тем, кто не открыл письмо через два дня, пользователи Apple Mail могут не получить эти повторные отправки, поскольку предварительная загрузка пикселей отслеживания создаёт видимость того, что все получатели уже открыли письма
• Сложности с A/B тестированием: невозможно точно определить, сколько людей прочитали одно письмо по сравнению с другим, когда значительная часть получателей использует Защиту конфиденциальности Mail
• Ложные показатели вовлеченности: показатели открытий искажаются настолько сильно у пользователей Apple Mail, что практически не дают надежной информации на уровне конкретных получателей о фактическом взаимодействии с сообщениями

Вместо сокращения отслеживания эти меры защиты конфиденциальности заставили маркетологов по электронной почте и аналитические компании разрабатывать ещё более сложные системы поведенческого профилирования, которые не полагаются на простые загрузки пикселей, что привело к тому, что инфраструктура отслеживания стала в целом ещё более навязчивой.

Требования GDPR к отслеживанию электронной почты

Согласно комплексному анализу соблюдения GDPR в отслеживании электронной почты, в своей текущей форме отслеживание электронной почты категорически запрещено без явного согласия пользователя. Регламент чётко требует, чтобы согласие было «свободно выраженным, конкретным, информированным и недвусмысленным», представленным «чётким и понятным языком» с возможностью отозвать согласие в любое время.

Мнение Рабочей группы 29 2/2006 г. подчёркивает, что сервисы отслеживания открытия писем представляют собой обработку персональных данных, требующую явного согласия, так как они собирают информацию о:

• Факте прочтения писем
• Когда письма были прочитаны
• Сколько раз они были прочитаны
• Каким почтовым серверам они были переданы, включая местоположение серверов

Предварительно отмеченные поля, объединённое согласие на получение электронной почты и разрешение на отслеживание или расплывчатые политики конфиденциальности не соответствуют стандарту явного согласия, требуемого GDPR. Организации должны внедрять двойные механизмы согласия, когда пользователи отдельно соглашаются получать почту и разрешают отслеживание взаимодействия.

Двойной механизм согласия CNIL

Исследование требований к раскрытию информации об отслеживании электронной почты показывает, что проект рекомендации CNIL устанавливает двойной механизм согласия для email-маркетинга и отслеживания. Вместо того чтобы разрешать организациям получать одно согласие, охватывающее как получение маркетинговых писем, так и отслеживание вовлеченности, CNIL предлагает получать два независимых согласия пользователей:

1. Согласие на маркетинговые письма: разрешение на получение рекламных сообщений
2. Согласие на отслеживание: отдельное, чёткое согласие специально для использования трекинговых пикселей

CNIL явно разграничивает практики отслеживания, требующие согласия, такие как идентификация отдельных открытий, таргетинг контактов на основе поведения при открытии и персонализация контента на основе индивидуальной вовлечённости, и допустимые практики, не требующие согласия, включая измерение общей открываемости кампаний в агрегированном анонимном виде.

Требования закона CAN-SPAM в США

Руководство Федеральной торговой комиссии по соблюдению закона CAN-SPAM устанавливает отдельные требования, обязывая коммерческие письма содержать точную информацию в заголовках и теме, предоставлять чёткие механизмы отказа от подписки и обрабатывать запросы на отписку в течение десяти рабочих дней. Каждое отдельное нарушение может повлечь штраф до 53 088 долларов США согласно закону, создавая значительные финансовые стимулы для соблюдения требований.

Однако CAN-SPAM принципиально отличается от GDPR своим подходом, позволяя отписку (opt-out), в то время как GDPR требует явного согласия (opt-in) до начала маркетинговых коммуникаций. Это различие означает, что организации с международной деятельностью должны соблюдать конфликтующие нормы, где требование GDPR о согласии создает более строгие обязательства по сравнению с более либеральным подходом CAN-SPAM к отказу от подписки.

Конкретные векторы уязвимостей, создаваемые синхронизацией между устройствами

Исследования, выявляющие конкретные векторы уязвимостей, демонстрируют многогранную природу проблемы раскрытия данных:

• Утечка данных через незашифрованные сети: Когда сотрудники проверяют рабочую почту через общедоступный Wi-Fi в кафе или аэропортах, потенциально раскрываются целые коммуникационные паттерны перед злоумышленниками, которые активно мониторят такие сети
• Смешение личных и рабочих данных: Синхронизируемые обновления статуса прочтения создают дополнительные риски, когда рабочая переписка синхронизируется вместе с личными фотографиями и приложениями, что потенциально приводит к передаче конфиденциальной информации компании в личное облачное хранилище
• Потеря или кража устройства: Каждое устройство с синхронизированными метаданными о статусе прочтения становится потенциальной точкой входа для злоумышленников, раскрывающей модели коммуникаций, даже если содержимое сообщений остается зашифрованным
• Уязвимости интеграции OAuth: Данные, явно предоставленные одному приложению, передаются в совершенно другие приложения без явного разрешения; исследования показывают, что от 59,67% до 82,6% пользователей предоставляют разрешения, которые они не полностью понимают

Согласно отчету Verizon Mobile Security Index 2022 года, 46% организаций сообщили о случаях компрометации мобильных устройств, что подчеркивает широкое распространение этих уязвимостей, связанных с устройствами.

Фрагментированная картина конфиденциальности

Фрагментированная картина конфиденциальности, создаваемая разным поведением почтовых клиентов, значительно усугубляет эти уязвимости. Для пользователей, полагающихся на альтернативные почтовые клиенты или веб-доступ, метаданные статуса прочтения продолжают неконтролируемо утекать через различные каналы. Еще более проблематично то, что некоторые меры защиты конфиденциальности создают ложные данные, еще больше запутывая реальный статус конфиденциальности.

Интеграции с приложениями третьих сторон могут передавать данные статуса прочтения приложениям, которые сохраняются даже после сброса пароля, создавая постоянные связи между учетными записями пользователей и сторонними сервисами. Организации сталкиваются с потенциальными нарушениями нормативных требований, включая штрафы до NULL,744 за каждое электронное письмо по CAN-SPAM или €20 миллионов по GDPR, что создает мощные финансовые стимулы для надлежащей защиты метаданных.

Структурные уязвимости веб-почтовых сервисов

Исследования, сравнивающие настольные почтовые клиенты и веб-почтовые сервисы, показывают, что облачные веб-почтовые сервисы создают централизованные хранилища данных, к которым провайдеры имеют постоянный доступ, могут анализировать и потенциально передавать информацию аналитическим партнёрам. При использовании веб-почты необходимо доверять провайдерам электронных услуг в обеспечении надлежащих мер безопасности, ответственном управлении данными и защите информации как от внешних угроз, так и от внутренней эксплуатации.

Письма постоянно остаются на серверах провайдера, что означает их постоянный доступ к незашифрованному содержимому сообщений, вложениям и метаданным о коммуникациях. Структурная уязвимость веб-почтовых сервисов обусловлена их зависимостью от сбора и монетизации пользовательских данных как основного источника дохода.

Кроме сканирования содержимого писем, веб-почтовые провайдеры собирают обширные метаданные о коммуникациях, включая:

• отношения между отправителем и получателем
• частоту общения
• типы вложений
• поведенческие паттерны, основанные на том, какие письма пользователи читают
• как долго они читают сообщения
• на какие ссылки кликают

Этот сбор метаданных происходит автоматически и регулярно через встроенные в интерфейс веб-почты системы отслеживания, часто без явного осознания пользователем или получения значимого согласия. Затем эти данные приобретают брокеры данных, комбинируют их с дополнительными персональными источниками и создают навязчивые профили, используемые для таргетированной рекламы, которая преследует пользователей по интернет-платформам. Такие практики усиливают беспокойства о конфиденциальности при отслеживании электронной почты.

Преимущества конфиденциальности настольных почтовых клиентов

Настольные почтовые клиенты принципиально изменяют этот баланс, сохраняя данные электронной почты под прямым контролем пользователя. Анализ функций почтовых клиентов с уважением к конфиденциальности демонстрирует, что локальная архитектура приложения означает хранение всех чувствительных данных исключительно на устройствах пользователей, поэтому компания, разработавшая почтовый клиент, не имеет доступа к письмам или содержимому даже при законных запросах или технических взломах.

Когда письма загружаются и хранятся локально, провайдер электронной почты теряет постоянный доступ к содержимому сообщений, не может сканировать письма для рекламных целей и анализировать коммуникации для создания поведенческих профилей, используемых для таргетированной рекламы.

Mailbird является примером внимательной к конфиденциальности архитектуры настольного почтового клиента благодаря своему подходу локального хранения, сохраняя письма непосредственно на компьютерах пользователей вместо постоянного размещения на серверах провайдера. Это архитектурное отличие имеет большое значение, поскольку локальное хранение предотвращает постоянный доступ провайдеров электронной почты к метаданным коммуникаций в течение всего времени хранения сообщений.

Архитектура локального хранения и контроль данных

Mailbird сохраняет письма непосредственно на вашем компьютере, что означает, что компания не может получить доступ к содержимому писем, метаданным или поведенческим шаблонам, даже если это требует закон, поскольку у компании просто нет инфраструктуры для сбора такой информации. Когда вы подключаете Gmail, ProtonMail или другие почтовые аккаунты к Mailbird, клиент аутентифицируется напрямую у провайдеров с помощью OAuth, загружает сообщения через стандартные протоколы и сохраняет их локально на вашем устройстве.

Этот архитектурный подход предоставляет несколько критических преимуществ в области конфиденциальности:

• Отсутствие централизованного хранилища данных: письма остаются на вашем устройстве, а не на серверах компании
• Прямое подключение к провайдерам: Mailbird не перехватывает и не маршрутизирует почтовый трафик
• Локальная обработка: поиск, фильтрация и организация происходят на вашем устройстве
• Доступ офлайн: вы можете читать почту без интернет-соединения
• Консолидация нескольких аккаунтов: управление несколькими провайдерами при сохранении локального контроля

Провайдеры получают доступ к метаданным только во время начальной синхронизации, когда сообщения загружаются на локальные устройства, а не имеют постоянного доступа к шаблонам коммуникаций. Это существенно снижает объём метаданных, доступных для анализа провайдерами, создания рекламных профилей и доступа третьих лиц по сравнению с веб-почтовыми сервисами, использующими облачное хранение.

Встроенные функции защиты от отслеживания

Mailbird реализует дополнительные меры конфиденциальности, специально разработанные для предотвращения утечки информации об устройстве, описанной в этом руководстве и связанных с беспокойствами о конфиденциальности при отслеживании электронной почты:

• Шифрование HTTPS для всех данных, передаваемых между почтовым клиентом и серверами с использованием Transport Layer Security
• Минимальный сбор данных, ограниченный необходимой информацией об аккаунте без всестороннего отслеживания поведения
• Локальная обработка писем, предотвращающая облачный анализ шаблонов коммуникаций
• Настраиваемая загрузка изображений, позволяющая отключить автоматическую загрузку изображений, которая активирует трекеры
• Контроль уведомлений о прочтении, дающий возможность отключать их в настройках почтового клиента

В Mailbird вы можете настроить предпочтения загрузки изображений, перейдя в Настройки, выбрав Чтение и установив «Никогда не загружать изображения автоматически». Это предотвращает работу трекеров, при этом позволяя вручную загружать изображения от доверенных отправителей при необходимости.

Многоуровневая защита с зашифрованными почтовыми провайдерами

Для максимальной конфиденциальности Mailbird поддерживает работу с несколькими почтовыми аккаунтами от разных провайдеров через единый интерфейс, позволяя сочетать провайдеров с акцентом на конфиденциальность и преимущества локального хранения. Это создаёт многоуровневую защиту, где шифрование на уровне провайдера дополняется локальным хранением в клиенте, минимизируя раскрытие метаданных в рамках всей системы электронной почты.

При подключении Mailbird к зашифрованным почтовым провайдерам, таким как ProtonMail, Mailfence или Tuta, вы получаете комплексную защиту — сквозное шифрование, препятствующее чтению сообщений кем-либо, включая почтовые сервисы, безопасность локального хранения от Mailbird и функции повышения производительности, делающие настольные клиенты популярными среди профессионалов.

Единый интерфейс устраняет компромиссы в производительности, из-за которых ранее почта с акцентом на конфиденциальность была менее удобной по сравнению с популярными альтернативами, позволяя объединять несколько аккаунтов без потери защитных функций. Такое сочетание обеспечивает преимущества конфиденциальности специализированных зашифрованных сервисов и удобство специализированных почтовых клиентов.