Сервис DuckDuckGo Email для защиты электронных писем от трекеров и слежки стал публичным после завершения годичного цикла бета-тестирования. Теперь он доступен по всему миру через мобильные приложения, расширения для браузеров, а также программы для компьютеров на macOS.
- Введение
- Сервис DuckDuckGo Email в действии
- Как это работает?
- Действительно ли DuckDuckGo безопасен?
- AICOA: ограничить доступ онлайн-компаний к персональным данным
- Практика и проверка DuckDuckGo
- Выводы
Введение
Служба электронной почты DuckDuckGo, которая на протяжении прошедшего года была доступна только в закрытой бета-версии, теперь открыта для всех желающих. Её главное назначение — повышение уровня конфиденциальности при работе с личной электронной почтой. Сервис позволяет отсекать всевозможные трекеры, нередко вводимые рекламодателями и мошенниками с целью отслеживать доступ пользователя к отправленному электронному письму и выполнять рекламные или мошеннические действия в ответ на его открытие.
Как сообщает DuckDuckGo, сервис удаляет трекеры из электронных писем и перенаправляет значимую часть письма адресату без искажений.
Сервис DuckDuckGo Email в действии
Анализ закрытого бета-тестирования DuckDuckGo показал, что приблизительно 85 % электронных писем содержат скрытые трекеры. Их вводят практически все рекламные агентства и компании, осуществляющие почтовые рассылки. Точно так же активно ими пользуются мошенники, которые решают таким образом свои задачи.
Контроль прочтения письма может быть выстроен и без прямой отправки обратных сообщений. Например, активно применяют такой способ контроля, как проверка открытия ссылки или показа изображения, расположенного внутри письма. В обычном случае, если не применяется средство очистки от трекинга, отправители могут связать адрес электронной почты, например, с личной страницей пользователя в социальных сетях, сервисами Google и пр. После этого они могут доставлять, например, рекламу через эти сервисы, не давая пользователю шансов выявить источник утечки его личной информации.
Новый сервис Email Protection доступен через мобильное приложение DuckDuckGo для iOS или Android, расширение для браузера (Firefox, Chrome, Edge и Brave) или через браузер для компьютеров Mac.
Рисунок 1. Сервис для мобильных устройств DuckDuckGo помогает защитить личную почту от слежки
Как это работает?
Служба DuckDuckGo предоставляет пользователям индивидуальный адрес электронной почты на сайте duck.com. Пользователь привязывает там один или несколько собственных личных email-адресов, которые недоступны для посторонних; письмо, отправленное на адрес в домене duck.com, перенаправляется туда, но уже с удалёнными трекерами. Это позволяет избавиться от сбора персональной информации и таргетинга рекламы.
В процессе обработки входящих писем не только отсекаются стандартные метки уведомления о прочтении письма, но также исправляются персонализированные ссылки, изменяются модификаторы отслеживания, незашифрованные URL-адреса HTTP обновляются до уровня HTTPS, где это возможно. Если полученное письмо требует обязательного обратного ответа, то он будет отправляться с прокси-адреса от DuckDuckGo, что позволяет не раскрывать основной ящик.
DuckDuckGo обещает не использовать полученную от пользователей информацию для отслеживания. «Duck никогда не сохраняет введённых адресов в своих системах. Информация об отправителе, строки темы… Мы не отслеживаем ничего из этого», — говорится в блоге компании.
Рисунок 2. Сервис DuckDuckGo доступен через расширения для браузеров
Действительно ли DuckDuckGo безопасен?
Сервис DuckDuckGo более известен многим прежде всего как поисковая система, созданная в 2008 году как альтернатива существующим поисковым системам и изначально ориентированная на конфиденциальность.
Главное отличие DuckDuckGo — это предоставление поисковой выдачи без влияния правил релевантности, которые принудительно вводят большинство «главных поисковых вендоров», таких как Google, Microsoft (Bing), Yandex и пр., для предоставления «более релевантного набора поисковых ответов». Такая персонализация, получившая название «пузырь фильтров», сужает объём информации, получаемой пользователем, с учётом его «релевантного опыта». Фактически эта выборка искажает реальную картину того, что доступно в Сети, и формально не гарантирует полной конфиденциальности. Пользователь получает только ту часть информации, которую система выделяет для него с учётом профиля предыдущих запросов, местоположения и ряда других правил. Новизна DuckDuckGo состояла в том, что этот сервис предоставлял полный набор поисковых ответов без «пузыря фильтров».
В то же время 1 марта 2022 года, в ответ на известные события на Украине, DuckDuckGo приостановил партнёрство с «Яндексом». 9 марта 2022 года основатель сервиса Гэбриел Вайнберг сообщил в Twitter, что DuckDuckGo понизил поисковый рейтинг российских источников. В ответ некоторые пользователи Сети раскритиковали этот шаг как цензуру и нарушение принципа приверженности поисковой системы «беспристрастному поиску».
В ответ официальные представители DuckDuckGo аргументировали свою позицию тем, что «основная полезность поисковой системы DuckDuckGo заключается в предоставлении доступа к точной информации». Сайты с пониженным рейтингом они назвали «не отвечающими этому правилу».
Для генерации своей поисковой выдачи DuckDuckGo использует более 400 источников (например, эти), включая ключевые краудсорсинговые сайты, а также другие поисковые системы, среди которых — Bing, Yahoo!, «Яндекс» и Yummly. Гэбриел Вайнберг объясняет это тем, что «в реальности только две компании в мире (Google и Microsoft) имеют действительно высококачественный глобальный индекс веб-ссылок», поэтому обойтись без них невозможно. Каким именно образом DuckDuckGo удаётся обходить их ограничения с правилами («пузырём фильтров»), не сообщается.
AICOA: ограничить доступ онлайн-компаний к персональным данным
13 сентября 2022 г. в адрес Конгресса США было направлено консолидированное обращение, подписанное 13 технологическими компаниями США (в том числе DuckDuckGo), специализирующимися на задачах обеспечения конфиденциальности. Их суммарный охват клиентов в США составляет более 100 млн человек.
Компании высказались в поддержку законопроекта об инновациях и выборе в интернете (American Innovation and Choice Online Act, AICOA), по которому сейчас проводится голосование в Конгрессе. Суть законопроекта состоит в наложении ограничений на онлайн-корпорации, которые ведут сбор частных данных пользователей. По оценкам подписавших обращение компаний, это порождает существенное влияние на отрасль: пользователям навязываются услуги со стороны этих интернет-корпораций, отбираемые с учётом профиля собранных данных о людях.
Как ожидается, новый закон AICOA в случае его принятия позволит гражданам США лучше контролировать своё взаимодействие с интернет-сервисами. Это будет достигнуто за счёт более строгих правил доступа компаний к конфиденциальным данным пользователей. Ожидается, что это позволит снизить объём таргетинга и манипулирования их данными.
Практика и проверка DuckDuckGo
Для проверки доступности сервиса мы загрузили мобильный браузер DuckDuckGo для Android через Google Play. Он доступен для русскоязычного сегмента, хотя опция защиты электронной почты обозначена в нём как «Beta».
Рисунок 3. Защита электронной почты в браузере DuckDuckGo пока доступна в бета-версии для русскоязычных пользователей
В описании функции действительно указаны соответствующие опции:
- Получаемые на адрес в домене duck.com письма не сохраняются физически в хранилище, даже во временном буфере. Вся обработка с удалением трекеров выполняется в памяти.
- При обработке в хранилище DuckDuckGo сохраняются только адрес пересылки и адрес отправителя в домене duck.com.
- Сервис DuckDuckGo не использует обрабатываемую информацию ни для каких целей.
- Цель обработки писем со стороны DuckDuckGo состоит в устранении максимального возможного количества трекеров.
- В то же время указывается, что сервис DuckDuckGo сохраняет за собой право на извлечение данных пересылки, но только в случае получения законного предписания со стороны государственных органов.
Рисунок 4. Правила обработки писем приведены в настройках сервиса
Оценить достоверность и полноту правил регламента обработки не представляется возможным.
В то же время отмечается, что пользователи из России испытывают в последнее время более существенные задержки в обработке и получении своей почты. Формально это может быть свидетельством того, что компания ввела «дополнительную обработку» для писем из российской юрисдикции.
Возможно, впрочем, и другое объяснение: сервис DuckDuckGo размещается на территории США, поэтому его трафик обслуживается американскими магистральными интернет-провайдерами. Известно, что ряд наиболее крупных компаний, например Cogent и Lumen, ещё в марте объявили о прекращении поддержки трафика с Россией. Поэтому обработка российского трафика на территории США сейчас неминуемо будет сопровождаться значительно более длительными задержками по сравнению даже с прошлым годом.
Выводы
Новый сервис DuckDuckGo Email помогает избавить личный адрес электронной почты от отслеживания. Сервис прошёл годовой цикл тестирования и теперь доступен публично по всему миру.
Сервисом можно официально пользоваться и в России. К сожалению, многие отмечают, что обработка писем происходит с заметной задержкой. Компания не даёт разъяснений по этому поводу, но причины могут быть и чисто техническими.
С практической точки зрения сервис DuckDuckGo Email будет полезен, например, при получении писем от мошенников. Очевидно, что действия со стороны последних, в том числе требования выкупа, могут быть запущены, когда злоумышленник получит подтверждение, что его письмо с угрозой было прочитано адресатом. Для этого в почтовые сообщения вставляются трекеры, оповещающие об открытии письма. Сервис DuckDuckGo позволяет избавиться от таких инструментов, давая получателю преимущество.
