Device identifiers, fingerprinting, and privacy

Transcript

1. Device identifiers, fingerprinting, and privacy LIS 510

2. Something we heard a lot in Data Doubles ✦ “I’m)okay)with)data)collection/analysis)AS)LONG)

   AS)I’M)ANONYMOUS!”) ✦ This)betrays)a)fundamental)misunderstanding)of) how)anonymous)we)can)even)be)today.) ✦ It)makes)me)want)to)scream,)cry,)and)throw)things)at)walls.)) ✦ (I)don’t.)Especially)not)during)a)research)interview)or)focus)group!)) ✦ tl;dr:)WE)BASICALLY)CAN’T.)So)if)you’re) depending)on)anonymity)to)make)a)data)practice) okay,)that)practice)is)NOT)OKAY.)Okay?) ✦ Let)me)break)this)down)a)bit.

3. [Direct] Identifiers ✦ They’re)what)they)sound)like.)They)identify) someone)or)something,)pick)them)out)of)a)crowd.) ✦ Any)string)of)characters)that)only)you)use)—)such)as)an)email) address)—)can)be)used)as)an)identifier)for)you.) ✦ You)and)I)have)lots)of)them.)We)all)do.)

   ✦ ID)numbers)(various)forms)of)ID!),)usernames/handles,)account) numbers,)email)addresses,)biometric)identifiers…) ✦ Your)name)is)the)LEAST)of)it…)and)for)many)it’s)a)lousy)identifier) anyway.)(My)name)happens)to)be)unique.)Yours)may)or)may)not)be!)) ✦ So)does)the)stuff)we)own.) ✦ Phone)numbers/SIM)cards,)serial)numbers,)on-device)identifiers)(any) digital)gadget;)mobile)gadgets)have)tons)of)these,)including)ones) meant)specifically)for)surveillance)adtech)and)isn’t)that)gross)…

4. If they collect an identifier from or for your device,

   you’re NOT anonymous to them.

5. Who does this? Well, for example: ✦ Your)mobile)service)provider)(the)famous) “metadata”).)Any)cell)tower)you)pass)by.) ✦

   Any)wifi)you)log)on)to)(including)ours).)) ✦ Any)wifi)access)point)anywhere)CAN)collect)a)device)identifier)even)if) you)don’t)connect)with)it,)as)long)as)you)have)wifi)enabled!)) ✦ The)wifi)connection)protocol)was)not)designed)with)privacy)in)mind.) ✦ Any)website/app)you)log)into,)obviously…) ✦ …)and)any)other)website)containing)a)web)bug)from)the)website/app) you’re)logged)into.)That’s)why)using)FaceGoogAzon)to)log)into)other) websites)is)a)privacy)killer)(not)that)NOT)logging)in)prevents)this;)get) a)browser)tracker)blocker!).) ✦ To)some)extent)single-sign-on)(as)with)UW-Madison)netID/password/ Duo))can)help)with)this,)if)(and)only)if))well-implemented.

6. A)“device)MAC)address”) is)a)device)identifier.) This)isn’t)private)at)all!) Photo)courtesy)Dan)Tracy.

7. “But we’d never match the device identifier to you!” ✦

   Horsepuckey.)Happens)all)the)time.) ✦ Think)about)that)library.)Somebody)commits)a)crime)there?)Or)there’s)a) flash)mob)(which)is)NOT)A)CRIME)?)You)better)BELIEVE)campus)police) will)grab)up)those)device)identifiers)like)candy.) ✦ (The)library)shouldn’t)hand)them)over…)but)librarians)have)forgotten)our) ethical)responsibilities)in)these)degenerate)days.)) ✦ Even)if)the)data)collectors)themselves)don’t)do)the) matching,)someone)else)will,)when)the)data)gets) shared,)sold,)or)just)combined)with)other)data.) ✦ Remember)that)thing)I)told)you)about)where)collected)data)commonly) gets)used)by)people/orgs)the)data)collectors)didn’t)envision,)for)purposes) the)data)collectors)didn’t)envision?) ✦ This)is)exactly)that)thing.)Exactly.) ✦ Don’t)fall)for)this,)please.

8. But that’s not all!

9. Indirect identifiers ✦ INDIRECT)IDENTIFIER:)a)characteristic)or) combination)of)characteristics)that)make)you)or) something)you)use)(which)basically)means)you,) again))individually)identifiable.) ✦ Works)on)people.)Works)on)devices!) ✦

   OUTLIER:)A)datapoint)that’s)so)far)outside)the)rest) as)to)be)unique)in)the)dataset.)Ka-bam,)identified!) ✦ College)and)Research)Libraries)published)research)about) undergraduates)in)which)one)person)in)the)dataset)was)83)years)old.) This)was)editorial)malpractice)and)the)article)should)be)retracted!) Identifying)individuals)in)research)(unless)they)have)agreed)to)it))is) JUST)PLAIN)UNETHICAL)RESEARCH)CONDUCT.) ✦ Exclude)outliers)or)report)bigger)data)slices,)researchers)and)editors.

10. How hard is it to reidentify someone indirectly? ✦ Super-duper-easy,)it)turns)out!)

    ✦ Famous)research)by)Harvard’s)Dr.)Latanya) Sweeney:)birth)date,)gender)(binary)assumed),) zip)code)is)enough)for)almost)9)in)10)Americans.) ✦ Walking)“birth)date”)back)to)“birth)year”)still)identifies)three)in)four.) ✦ Higher-education)context:)Think)about)gender,) major(s),)and)exact)GPA.)I)don’t)know)for)sure,) but)I)bet)that’d)identify)a)WHOLE)LOT)of)you.) ✦ Almost)all)“learning)analytics”)datasets)contain)these)datapoints…)and) lots,)lots)more.) ✦ If)you’re)okay)with)learning)analytics)because)you)think)you’re) anonymous,)STOP)BEING)OKAY,)BECAUSE)YOU’RE)NOT.

11. Big Data makes this worse. ✦ The)more)sources)of)data)there)are)to)match)against,) and)the)richer)they)are,)the)easier)it)is)to)use)some) incomplete)data)to)identify)somebody)or)something.) ✦

    And)the)instant)the)incomplete)data)gets)matched)with)a)dataset)that) actually)has)direct)identifiers)for)people)or)their)devices…)that) “anonymized”)dataset)you’re)in)suddenly)isn’t)anonymous)any)more.) ✦ Doing)this)is)called)REIDENTIFICATION.) ✦ Thanks,)data)brokers!)Thanks,)social)media!)Thanks,) adtech!)Thanks,)facial)recognition!)Thanks,) biometrics!)Thanks,)learning)analytics!)Thanks,)CRM!) Thanks,)data)warehouses!)Thanks,)surveillance!) ✦ Now)none)of)us)can)be)anonymous)pretty)much)ever!) Not)even)when)we’re)safer)that)way!

12. An equity issue ✦ Because)of)the)outlier)effect,)if)you’re)unusual)in) your)context,)you’re)easier)to)indirectly)identify.) ✦ At)UW-Madison,)if)you’re)not)white)(the)student) body)was)~65%)white)in)2021),)this)means)you.)) ✦

    You)have)every)reason)to)want)us)to)be)careful)with)data)about)you.) ✦ Source:)https://registrar.wisc.edu/enrollment-reports/) ✦ Trans,)non-binary,)GNC)folks:)think)HARD)about) whether)you)want)this)recorded)about)you)as) data.)For)now,)you’re)strong)outliers.) ✦ Data)collection/analysis/selling/sharing)means) more)risk)for)people)of)color)in)the)US.

13. Fingerprinting ✦ FINGERPRINTING:)combining)indirect)identifiers)of) a)device)or)a)piece)of)software)into)a)unique) identifier)for)that)device/software) ✦ e.g.)device)model,)operating)system)and)version,)configuration) options,)installed)fonts,)installed)software/apps)and)versions,)screen) resolution,)installed)plug-ins,)(devices))temperature)and)battery)level,) (browsers))links)you’ve)already)clicked,)(social)media))your)friends)

    and)family) ✦ Check)out)panopticlick.eff.org)to)(safely))fingerprint)your)browser.) ✦ Again:)if)they)identify)your)device)or)software,) they’ve)identified)you.) ✦ A)fair)few)leaks/breaches)leak)device)identifiers)or)fingerprints.) Consider)these)as)serious)as)any)PII)leak/breach.)They)are!

14. Yeah, yeah, what’s the threat model, Salo? ✦ Excellent)question!)Glad)you)asked)it.) ✦

    A)lot)of)discussions)about)privacy)get)lost)in)the)weeds)because)nobody)lays) out)a)realistic)threat)model)(much)less)a)real)threat).) ✦ I)gave)you)the)law-enforcement)one.) ✦ And)believe)you)me,)that’s)not)a)movie-plot)threat.)It’s)happened!)Including)to) lots)of)folks)who)committed)no)actual)crime,)but)annoyed)people)in)power!) ✦ But)let’s)think)about)a)person/org)who)has)a)specific) interest)in)finding)out)stuff)about)you,)to)make)a) decision)about)you.) ✦ Such)as)a)grad)school)you’re)applying)to.)Or)a)prospective)employer.)Or)an) insurer)(health,)car,)life,)home/renter))deciding)whether)to)insure)you)and)how) much)to)charge.)Or)a)loan)officer)for)your)car)loan)or)mortgage.) ✦ They)have)some)info)on)you.)They)want)more.) ✦ Of)course)they’ll)take)the)info)they)have)and)ask)for)matches)in)as)many) “anonymized”)datasets)as)they)can.)Will)they)find)you?)Yeah.

15. Our good buddy Facebook ✦ Tried)to)patent)a)method)by)which)they)would) evaluate)your)insurability/creditworthiness)by) looking)at)your)friendslist)(“social)graph”)) ✦ Far)from)the)only)judgement)tool)they’ve)tried)to)

    build)or)patent!) ✦ I)can’t)say)this)loudly)enough:)THIS)IS)NOT)A) MOVIE-PLOT)THREAT.) ✦ Real)organizations)are)making)substantive,)life- altering)decisions)about)you)based)on)this)stuff.

16. College/university admissions: Home of Shady Surveillance Stuff ✦ I)just.)This)is)so)wrong.)But)okay,)here)we)go.) Admissions)offices)look)at:)

    ✦ your)social)media)and)friend)graph) ✦ how)long)you)spend)on)the)website)(red)flag:)digital)divides!)) ✦ whatever)data)they)get)from)web)bugs)on)the)website)(and)yes,)the)web- bugging)companies)reidentify)you)) ✦ whatever)data)they)decide)to)buy)from)data)brokers)and)match)up) ✦ It)may)not)determine)whether)you)get)in…)but)it’s)a) big)determiner)of)how)much)money)you’re)offered.) ✦ I)can)say)for)iSchool)master’s)programs)that)we)do) not)do)this)stuff.) ✦ We)look)at)your)actual)application)package!)And)that’s)all!) ✦ And)the)decision)to)admit)(or)not))is)ours)and)ours)alone.

17. One more time: If you’re comfortable with something only because

    “I’m anonymous,” don’t be. Because as soon as someone wants you not to be, you’re not.

18. Questions? Ask them! This lecture is copyright 2021 by Dorothea

    Salo. It is available under a Creative Commons Attribution 4.0 International license.