미국 우편 서비스(USPS)가 온라인 고객의 우편 주소를 메타, 링크드인, 스냅과 같은 광고 및 기술 대기업과 공유하고 있었다는 사실이 TechCrunch에 의해 밝혀졌습니다.
수요일에 USPS는 이 문제를 해결하고 이러한 관행을 중단했다고 밝혔으며, 이에 대해 “인지하지 못했다”고 주장했습니다.
TechCrunch는 USPS가 웹사이트 전반에 걸쳐 사용되는 숨겨진 데이터 수집 코드(추적 픽셀)를 통해 고객의 정보를 공유하고 있다는 것을 발견했습니다. 이 코드는 사용자가 웹페이지를 로드할 때마다 방문하는 페이지와 같은 사용자 정보를 수집하는 데 사용됩니다.
USPS의 경우, 수집된 데이터 중 일부는 우편물이 도착하기 전에 들어오는 우편물의 사진을 볼 수 있는 Informed Delivery 서비스를 사용하는 로그인된 USPS 고객의 우편 주소를 포함하고 있었습니다.
얼마나 많은 개인의 정보가 수집되었는지, 그리고 얼마나 오랫동안 수집되었는지는 명확하지 않습니다. 2024년 3월 기준으로 Informed Delivery 서비스 사용자는 6,200만 명 이상이었습니다.
USPS 대변인 짐 맥킨은 TechCrunch에 “우편 서비스는 자사 제품과 서비스의 사용을 이해하기 위해 내부 목적으로 분석 플랫폼을 활용하며, 이를 집계된 형태로 자사 제품을 마케팅하는 데 사용합니다.”라고 말했습니다.
“우편 서비스는 이 분석 플랫폼에서 수집된 개인 정보를 제3자에게 판매하거나 제공하지 않으며, URL에서 개인 정보를 수집하여 소셜 미디어와 우리의 지식 없이 공유한 플랫폼의 설정을 인지하지 못했습니다.”
“우리는 이 문제를 해결하기 위해 즉각적인 조치를 취했습니다.”라고 대변인은 말했지만, 어떤 조치를 취했는지는 밝히지 않았습니다. 대변인은 더 이상의 논평을 거부했습니다.
페이스북 대변인 에밀 바스케스는 “광고주가 사람들에 대한 민감한 정보를 비즈니스 도구를 통해 보내서는 안 된다고 명확히 밝혔습니다. 이는 우리의 정책에 위배되며, 우리는 광고주에게 이러한 일이 발생하지 않도록 비즈니스 도구를 올바르게 설정하는 방법을 교육합니다. 우리의 시스템은 감지할 수 있는 잠재적으로 민감한 데이터를 필터링하도록 설계되었습니다.”라고 밝혔습니다.
링크드인과 스냅 대변인은 TechCrunch의 논평 요청에 즉시 응답하지 않았습니다.
TechCrunch의 테스트에서 USPS 웹사이트는 로그인한 USPS Informed Delivery 고객의 우편 주소를 메타, 링크드인, 스냅과 공유하고 있음을 발견했습니다. TechCrunch는 대부분의 최신 브라우저에 내장된 도구를 사용하여 네트워크 트래픽을 검사함으로써 이를 테스트했습니다.
우리의 테스트는 USPS 웹사이트의 데이터 수집 코드가 고객이 로그인한 후 Informed Delivery 랜딩 페이지에서 고객의 주소를 긁어와 이를 회사에 전송하고 있음을 보여주었습니다.
이 코드는 고객의 컴퓨터 유형과 브라우저에 대한 정보와 같은 다른 데이터도 수집했으며, 이는 실명 대신 무작위 식별자를 사용하여 데이터의 출처나 관련된 사람을 알기 어렵게 만드는 방식으로 부분적으로 가명 처리되었습니다. 그러나 연구자들은 가명 데이터도 여전히 익명의 개인을 재식별하는 데 사용할 수 있다고 오랫동안 경고해 왔습니다.
TechCrunch는 USPS 웹사이트에 입력된 추적 번호도 Bing, Google, LinkedIn, Pinterest, Snap과 같은 광고주 및 기술 회사와 공유되고 있음을 발견했습니다. USPS 웹사이트에 로그인하지 않은 경우에도 우편 시스템 내 우편물의 실제 위치와 같은 일부 이동 중인 추적 데이터가 공유되었습니다.
USPS 대변인은 우편 서비스가 기술 회사에 수집된 데이터를 삭제할 것을 요청할 것인지에 대해서는 밝히지 않았습니다.
우편 서비스의 감독을 제공하는 연방 감찰관 사무소 대변인은 언론 시간에 논평하지 않았습니다.
USPS는 최근 몇 년 동안 웹 추적 코드 사용을 제한한 최신 조직입니다.
2023년에는 텔레헬스 웰니스 스타트업 Cerebral과 알코올 회복 앱 Tempest와 Monument가 사용자로부터 제출된 평가를 포함한 개인 건강 정보를 기술 및 광고 회사와 공유했으며, 이후 추적 코드를 제거했다고 밝혔습니다.
같은 해, 연방거래위원회는 건강 데이터 거대 기업 GoodRx에 대해 광고주와 고객의 건강 데이터를 공유한 혐의로 150만 달러를 지불하도록 했으며, 온라인 치료 회사 BetterHelp는 개인 건강 설문 응답을 공유한 혐의로 780만 달러를 보상하도록 명령했습니다.