Toolkit for privacy evaluation of geolocated data

Abstract

El auge de los sistemas de geolocalización de los últimos años ha venido acompañado de una nueva problemática, la privacidad de los datos de los usuarios que usan estos sistemas. Este Trabajo de Fin de Máster (TFM) se propone evaluar la privacidad de los datos obtenidos al sanitizar un dataset de puntos espacio-temporales mediante una serie de métodos de sanitización. Para evaluar la privacidad de un dataset geolocalizado, se evalúa cuán difícil para un atacante sería deducir información sensible para un sujeto cuya información se encuentre en el dataset, ya sea mediante la deducción de puntos de interés (POIs) o mediante la reidentificación de un sujeto mediante el linkado de trazas. Se han evaluado la perturbación, la agregación y el swapping o intercambio como métodos de sanitización. Con tal de evaluarlos, se han atacado los datasets sanitizados mediante los ataques de deducción de hogares, de extracción de stays y de extracción de localizaciones inicio-fin (begin-end). Los resultados deben ser tenidos en cuenta desde el punto de vista de la aplicación que se le dará a los datos sanitizados. Si se desea mantener todos los datos agregados intactos y usar el dataset sanitizado para los mismos propósitos que el dataset original, el método swapping es el más potente manteniendo un buen nivel de privacidad. Si la utilidad del dataset sanitizado no tiene en cuenta que los datos extraídos mantengan los datos agregados ni que se pueda usar para, por ejemplo, crear mapas de movilidad -un escenario poco realista-, la perturbación es un método muy sencillo de implementar que sería suficiente, aunque si no se combinan distintos tipos de perturbación, un atacante podría fácilmente deducir las localizaciones originales.

The rise of Location Based Systems during the last years has lead to a new problem, the data privacy of system's users. This Master's Final Project (TFM) aims to evaluate the privacy of the data obtained by sanitizing a dataset of spatiotemporal points through a series of sanitization methods. In order to evaluate the privacy of a geolocated dataset, we try to know how difficult it would be for an attacker to deduce sensitive information for a subject whose information is in the dataset, either by the deduction of points of interest (POIs) or by re-identifying a subject by linking traces. Perturbation, aggregation and swapping of traces have been evaluated as sanitization methods. In order to evaluate them, the sanitized datasets have been attacked by the following methods: home inferring, extraction of stays and begin-end location finder. The results must be considered from the point of view of the application that will be given to the sanitized data. If you want to keep all the aggregated data intact and use the sanitized dataset for the same purpose as the source one, swapping is the most powerful method, maintaining a good level of privacy. If the utility of the sanitized dataset does not take into account that the extracted data keeps aggregated data or that it can be used to, for example, create mobility maps -an unrealistic scenario-, perturbation is a very simple method to implement, although if different types of disturbance are not combined, an attacker could easily deduce the original locations.

L'auge dels sistemes de geolocalització dels últims anys ha vingut acompanyat d'una nova problemàtica, la privacitat de les dades dels usuaris que usen aquests sistemes. Aquest Treball de Fi de Màster (TFM) proposa avaluar la privacitat de les dades obtingudes al higenitzar un dataset de punts espaciotemporals mitjançant una sèrie de mètodes d'higienització. Per a avaluar la privacitat d'un dataset geolocalitzat, s'avalua com de difícil per a un atacant seria deduir informació sensible per a un subjecte la informació del qual es trobi en el dataset, ja sigui mitjançant la deducció de punts d'interès (POIs) o mitjançant la re-identificació d'un subjecte mitjançant l'enllaç de traces. S'han avaluat la pertorbació, l'agregació i el swappingo intercanvi com a mètodes d'higienització. Amb la condició d'avaluar-los, s'han atacat els datasets higienitzats mitjançant els atacs de deducció de llars, d'extracció de stays i d'extracció de localitzacions inici-fi (begin-end). Els resultats han de ser tinguts en compte des del punt de vista de l'aplicació que se li donarà a les dades higenitzades. Si es desitja mantenir totes les dades agregades intactes i usar el dataset higienitzat per als mateixos propòsits que el dataset original, el mètode swapping és el més potent mantenint un bon nivell de privacitat. Si la utilitat del dataset higienitzat no té en compte que les dades extretes mantinguin les dades agregades ni que es pugui usar per a, per exemple, crear mapes de mobilitat -un escenari poc realista-, la pertorbació és un mètode molt senzill d'implementar que sería suficient, encara que si no es combinen diferents tipus de pertorbació, un atacant podria fàcilment deduir les localitzacions originals.