V uplynulých několika měsících mě pravidelně nadzvedával ze židle prohlížeč Chrome, který se dost vlezlým způsobem snažil získat má přístupová hesla z aplikace pro jejich správu LastPass – vždycky, když jsem se k LastPassu přihlásil, spustil Chrome své vlastní nové okno, které otevřel přímo přes LastPass. Co jiného si o tom myslet, než že se snaží z vás podloudně vylákat vaše privátní data? Poslední dobou se to stávalo tak často, že už jsem si řekl dost.

Proč? Z vícera důvodů. Zaprvé si nepřeju, aby Google (jako firma) skenoval políčka, do kterých uvádím svá uživatelská jména a hesla. Zadruhé, Google tím současně člověku vnucuje vlastní aplikace pro správu hesel, které nechci. Tohle je jen malá ukázka síly monopolu Googlu. Děkuji, nechci. A tak jsem se minulý týden rozhodl, že nadešel čas s tím skoncovat.

Prvním krokem bylo kliknutí na malé tlačítko „Spravuj“, které Google schoval až na samý spodní okraj stránky pro přihlášení uživatele. Chtěl jsem zjistit, kam se vlastně dostanu. Objevil jsem, že mě Google, přesně jak jsem očekával, velmi detailně sleduje. V přehledu, kam jsem se dostal, jsem objevil seznam „Uložených hesel“ a vedle něj seznam „Neuložená hesla“.

Hmm. Neuložená hesla? Nikdy jsem Googlu nepovolil, aby vytvořil a evidoval seznam všech webových stránek, na které jsem se přihlašoval. Přihlašoval jsem se na weby, ke kterým Google neměl mít přístup, ale ke kterým by jej nejspíš v budoucnu velmi rád získal. Možná jsem s něčím takovým souhlasil v rámci uživatelských podmínek a jen jsem si toho nevšiml, ale kdo ví? Většina z nás to netuší, a to nahání hrůzu.

Rozhodl jsem se jít dál po stopě a zjistit, co všechno ještě o mně Google shromažďuje. Můj další krok vedl na lištu s odkazem „Adresy a další“. Říkal jsem si, že tam jistě objevím zajímavé údaje, protože kvůli své práci dost cestuji. Budou tam jen adresy, které jsem Googlu poskytl v rámci nastavení prohlížeče Chrome?

Nebo adresy, na kterých jsem strávil určitý počet hodin? Shromažďují se tam data ze všechn adres, na kterých jsem kdy byl? Nebo adresy, které jsem zadával na nejrůznějších webech, přestože jsem prohlížeči Chrome nepovolil, aby je evidoval? Byl jsem zvědavý, zvlášť poté, co jsem předtím narazil na ta „neuložená hesla“.

Objevil jsem dlouhý seznam adres. Většina z nich byla přímo spojená se mnou a byly mezi nimi i adresy, které jsem na web zadával jednorázově, a to z nejrůznějších důvodů. Objevil jsem tam ale i několik dalších informací, o kterých jsem netušil, že je někdo eviduje, a které zarazily i mě. Internet a jeho zabezpečení jsou přitom mým denním chlebem.

Zaprvé informace o mé matce. To bylo zajímavé. Že bych je tam byl sám uložil? Nebo že bych je měl v detailech kontaktů ve svém mobilu? Možná že ty informace někdo získal z mého e-mailu nebo z nějakého nákupu, který jsem někde někdy realizoval. Kdo ví? Jsem si jistý, že by nebylo složité spojit si mě a mou matku i na základě jiných mých aktivit na webu. Bylo to zajímavé, ale ne šokující. A tak jsem pokračoval.

Níže na seznamu jsem objevil další, mnohem znepokojivější fakta o tom, co všechno o mně Google ví. Vyšlo najevo, že zná a spojuje si mě i s mou babičkou (z otcovy strany), která je ještě naživu a zdravá, ale nikdy nepoužívala internet, a s mým dědečkem (z matčiny strany), který zemřel letos v březnu, aniž by také kdy použil internet.

Tohle už bylo znepokojující, a to z několika důvodů. Tím největším bylo, že se ani jeden z nich nikdy nepřipojil k síti. Ani jeden z nich dokonce doma neměl připojení k dispozici. Google nicméně znal jejich přesnou adresu, jejich plná jména včetně toho, které dostali při křtu. Takové věci bych o svých prarodičích nejspíš neřekl ani vám. Jasně, mohl bych s vámi za nimi po paměti zajet, ale fakt je, že bych si jejich přesnou adresu vybavoval stěží.

Prostě vím, kam jet. Věc, která mě ale zdaleka nejvíc dostala, bylo, v jakém formátu byly údaje na seznamu uvedené. Bylo to celé velkými písmeny, což odpovídalo tomu, jako by adresu vygeneroval stroj. Já sám bych takhle adresu nikdy nenapsal – velkými tiskacími písmeny píšu jen rukou a na papír. Jakmile jsem to viděl, začal jsem zjišťovat, jak se Google vůbec dostal k téhle informaci a jak si ji spojil se mnou.

Bezprostředně si dokážu představit jen několik způsobů, které by to celé vysvětlovaly:

  • Nejjednodušší odpověď je, že jsem někde online uložil dědečkovy údaje sám, pro jistotu. Ale nic takového jsem neudělal. Jsem si téměř stoprocentně jistý, že to není tenhle případ. A jak si tím můžu být tak jistý? Ani já jsem totiž neznal dědečkovo jméno, které dostal při křtu. Po celou dobu mého dětství jsem žil v domnění, že má jen dvě jména – křestní a příjmení.
  • Dědečkovy údaje jsem použil jako jedno z hesel pro přihlašování na webu. O tom pochybuji. A i kdybych to udělal, užil bych jen „Reyzlik“ v souvislosti s často používaným zajišťovacím heslem, které je odpovědí na otázku „Jak se jmenovala vaše matka za svobodna?“. V žádném případě bych nepoužil celého dědečkova jména. A už vůbec bych k němu nepřipojoval jeho adresu. Nanejvýš bych uvedl, že žije v Blair v Nebrasce, nebo něco takového. Ale i o tom pochybuji.
  • Údaje o dědečkovi jsem si uložil mezi své kontakty. Neuložil. Projel jsem všechny své záznamy a všechno, co jsem našel ve svém mobilu (a ve svých e-mailových kontaktech), byl název jeho firmy a telefonní číslo. Zní to divně, ale kdybyste znali mou rodinu, věděli byste, že můj děda pracoval 32 hodin denně, takže jsem ani neměl důvod ukládat si do kontaktů jeho adresu a telefon domů. Z téhož důvodu tam nemám ani jeho jméno, stojí tam jen „Ace“, což je zkráceně „Ace Hardware“, jinak jeho firma a obchod.
  • Údaje o dědečkovi si uložili mí rodiče a já pak pracoval na jejich počítači. Skutečně jsem využíval jejich počítač, a to v období od dubna do června letošního roku, kdy jsem měl v opravě svůj vlastní stolní počítač. Napadlo mě, že by právě tohle mohlo být reálné vysvětlení. Zjistil jsem ale, že si ani mí rodiče dědečkovy údaje v počítači neevidovali. Děda zemřel 1. března 2019 a rodiče mi řekli, že údaje o něm použili jen při jednání s právníky, realitními makléři a ostatními, kteří jim pomáhali s vyřizováním dědictví. To znamená, že se údaje na internet nedostaly tak, že by je tam zadal někdo v souvislosti s mým uživatelským účtem, přesto jsou ale s mým účtem spojené. Jak je to možné? Jediné, co mě napadá, je, že můj děda poskytl při nějaké příležitosti své osobní údaje v reálném životě někomu, s kým jednal, či nějaké firmě, která je následně prodala Googlu. To dává smysl. Dokonce je to i legální. Ale to mě vedlo k další otázce: Jak se tahle data propojila s mým účtem na Googlu? Níže je pár scénářů, které by to vysvětlovaly:
  • Využili geolokaci, aby si nás spojili? To je krajně nepravděpodobné, protože můj děda používal starší typ telefonu a neměl účet na Googlu. Google by si nás musel spojit s využitím CSLI, což je zkratka pro sledování telefonních hovorů. Je to možné, ale vysoce nepravděpodobné.
  • Mé příjmení je Toscano, děda byl Reyzlik. Spojili si ho snad s mou matkou, jejíž dívčí jméno bylo rovněž Reyzlik, a následně matku se mnou? Těžko říct. Vypadá to nepravděpodobně, jedině snad, že by s využitím dat, která získají, vytvářeli genealogické řetězce. I to je samozřejmě možné. Ale chci doufat, že to není můj případ.

Další otázky, které mě napadly:

Jaké další informace o mně a mé rodině Google shromažďuje a já to přitom nevím?

Odkud ty informace pocházejí? Od marketérů, kteří je shromažďují? Nebo od někoho, kdo se specializuje na krádeže identity?

A konečně: jak si nás spojili? Nikdy jsme nebyli přátelé na Facebooku. Děda mi nikdy neposlal jediný e-mail. Jak už jsem říkal, nikdy internet nepotřeboval a nikdy ho nevyužíval.

K jádru věci

Není divu, že jsem vypnul funkci „Nabídka na uložení hesel“ a smazal všechny informace, které nechci, aby Google evidoval (natož k nim měl vůbec přístup). Jakmile si najdu trochu času, udělám další kroky: stáhnu si všechna svá evidovaná data a proberu se jimi, abych zjistil, jak si mě Google propojil s mým dnes už zemřelým dědečkem, a následně budu chtít, aby Google smazal všechny informace, jejichž vymazání žádám, nebo aby mi alespoň umožnil je vymazat ze stránek, na kterých jsem na ně narazil. Pravdou je, že pro to nemám pevnou oporu v zákonech, rozhodl jsem se však udělat, co budu moct, abych se domohl svého.

Než přijdu na to, co se vlastně stalo, vyzývám všechny, aby mi napsali, jestli je nenapadá, jak byl Google schopen propojit můj účet s osobními údaji mého dědy. Netušíte někdo, jestli Google přece jen nepracuje na nějaké globální genealogické databázi? Nebo nemáte někdo tip, jak se domoci nějakého vysvětlení, a to nejen pro mě, ale i pro ostatní, kteří se s něčím takovým potkali? Napište komentář nebo mi napište e-mail. Předem díky.

Mrkněte pro zajímavost na svá data na stránkách:

chrome://settings/addresses

chrome://settings/passwords?search=credentials

Dodatek

Tenhle článek vyvolal pár hodin po svém zveřejnění spoustu ohlasů a diskusí. Původně jsem si říkal, že půjde jen o malý příspěvek do debaty o ochraně osobních údajů a o zabezpeční internetu. V žádném případě jsem jím nechtěl Google obvinit z nějakého protiprávního jednání. Je mi jasné, že získávání údajů z webu, jejich evidence a následný prodej jsou dnes zcela legální a že se tím zabývá celá řada firem. Stejně tak jsem přesvědčený o tom, že se většina z nich drží litery zákona a s daty nenakládá nezodpovědně. Chtěl jsem jen vyprovokovat diskusi o tom, co všechno je možné a jak k tomu vědomě dáváme svůj souhlas, a to se mi povedlo.

Takže pro vás mám už jen dovětek: Jak to, že je normální, aby internet fungoval i jako nástroj všudypřítomné špionáže? Proč nemůže naopak síť respektovat soukromí? Opravdu to tak chceme? To, že je něco legální, ještě neznamená, že je to správné. Co byste chtěli, aby se na tomhle poli podniklo? Jakým způsobem by se věci měly změnit?