Juliano1 tinha uma conta na Dotz, um serviço de pontos/cashback, e decidiu que não a queria mais. Ao tentar cancelá-la, caiu em um labirinto kafkaniano, repleto de perguntas esquisitas elaboradas a partir de dados seus que ele jamais compartilhou com a Dotz. “E pior: disseram que eu ERREI as respostas sobre minha vida”, contou, incrédulo.
O aplicativo Bradesco Cartões para iOS, do Bradesco, inaugurou uma nova estratégia, uma espécie de chantagem, para obter a permissão dos clientes para que sejam rastreados.
Ao negar ao app o direito de rastrear seus passos em outros apps e na web com aquele recurso de Transparência no Rastreamento em Apps (ATT, na sigla em inglês), obrigatório desde o iOS 14.5, o Bradesco Cartões impõe uma série de restrições, como “ver só um extrato por mês e não ver as transações recentes”, segundo o leitor do Manual do Usuário, dono de um cartão Bradesco, que fez a denúncia.
Ao ser aberto, o app Bradesco Cartões exibe um popup com o seguinte pedido:
Para receber mensagens de notificação, é necessário que você habilite o rastreamento nos ajustes do seu celular. Ajustes > Bradesco Cartões > Permitir rastreamento.
Não há qualquer tipo de vinculação ou justificativa técnica para tal “necessidade”. A Apple, aliás, proíbe esse tipo de condicionamento na cláusula 3.2.2, alínea VI das diretrizes da App Store. Tradução livre e grifo meu:
[…] Aplicativos não devem exigir que os usuários avaliem o aplicativo, escrevam reviews do aplicativo, assistam a vídeos, façam o download de outros aplicativos, toquem em anúncios, permitam rastreamento ou tomem outras ações similares para acessar funcionalidades, conteúdo, usem o aplicativo ou recebam compensação financeira ou outra, incluindo, mas não se limitando a, cartões-presente e códigos.
Questionei o Bradesco sobre essa prática. O banco enviou a seguinte resposta:
Para a segurança dos clientes Bradesco, usuários do aplicativo de cartões, são utilizadas algumas informações do aparelho no processo de onboarding para evitar invasões e cadastros fraudulentos. Por motivos de segurança, não são divulgados os campos que são utilizados para não expor informações que fazem parte dos motores antifraude do Banco. A palavra “rastreamento” é utilizada no sentido de executar testes com objetivo de garantir a segurança do usuário e não o ato de rastrear sua mobilidade.
Sobre a menção ao regulamento da loja, vale ressaltar que todas as versões dos aplicativos Bradesco são submetidos a etapas de testes e qualidade, além do processo rigoroso de aprovação das lojas. Importante reforçar que o Bradesco tem claro em seu propósito a geração de valor para seus clientes, através de melhorias contínuas em seus produtos e serviços, partindo da centralidade do cliente.
Também pedi um posicionamento à Apple, mas até a publicação desta nota a empresa não havia retornado. Se e quando recebê-lo, acrescentarei aqui mesmo.
Era só o que faltava. Obrigado, leitor!
O Google promoveu deliberadamente ações desleais para prejudicar rivais e consolidar e manter o domínio que tem no segmento de publicidade digital, de acordo com documentos revelados a mando da Justiça federal dos Estados Unidos na sexta-feira (22).
A Snap, empresa dona do Snapchat, reportou faturamento de US$ 1,07 bilhão no terceiro trimestre nesta quinta (21.out), abaixo das expectativas dos analistas de Wall Street, de US$ 1,1 bilhão.
A culpa pelo desempenho aquém do esperado foi do recurso Transparência no Rastreamento em Apps (ATT, na sigla em inglês) do iOS, justificou o CEO Evan Spiegel.
O ATT, implementado no iOS 14 e tornado obrigatório pela Apple no iOS 14.5, exige que apps que rastreiam o usuário em outros apps e na web obtenham o consentimento expresso dele para continuarem fazendo isso. Sem surpresa, a maioria das pessoas rejeitou tais pedidos, o que tem causado impactos significativos em negócios baseados em publicidade segmentada, casos do Snapchat e do Facebook, por exemplo.
Spiegel disse que, por conta do ATT, “as ferramentas [de mensuração da publicidade] ficaram no escuro”, mas classificou a baixa como temporária, dizendo que “leva tempo” para se adaptar à nova realidade e que o impacto a longo prazo da do ATT ainda é desconhecido. Diferentemente do Facebook e de seu CEO, Mark Zuckberberg, que encamparam uma batalha de relações públicas contra o recurso de privacidade da Apple, Spiegel acha que se trata de uma boa ideia. Via TechCrunch (em inglês).
O Congresso aprovou uma Proposta de Emenda à Constituição (PEC) que inclui a proteção de dados pessoas direito fundamental. Ela altera o artigo 5º da Constituição, o dos direitos individuais e coletivos, acrescentando que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
Outra mudança é que a PEC restringe à União a competência de legislar sobre proteção e tratamento de dados pessoais. Via G1.
— Edward Snowden.
Snowden falou nesta quinta (20), no primeiro Dia Global da Criptografia, evento organizado pela recém-formada Coalização Global de Criptografia, cujo objetivo é promover e defender a criptogarfia em países-chaves. “Só neste ano”, prosseguiu, “após a queda do governo do Afeganistão, vimos como a criptografia é essencial para manter pessoas comuns em segurança.”
Em vários lugares do mundo, dos Estados Unidos à China, passando pela Europa, há uma pressão crescente para que empresas de tecnologia criem “backdoors” em protocolos de criptografia, ou seja, exceções destinadas às autoridades. Tal ideia é duramente criticada por especialistas. Via The Next Web (em inglês).
Quando o Cardigan encerrou suas atividades, deixei de apagar automaticamente posts antigos no meu perfil pessoal no Twitter. Foi uma decisão pragmática: somente alguém lacônico e extremamente organizado conseguiria apagar seus próprios posts de uma rede social em intervalos regulares. O Cardigan fazia isso, tão bem que eu havia pago uns trocados pelo serviço. Após um tempão sem ter meu perfil limpo automaticamente, encontrei um ótimo substituo, o Semiphemeral.
O WhatsApp começou a liberar backups na nuvem (Google Drive/iCloud) criptografados de ponta a ponta. Se a sua conta já estiver liberada, basta seguir estas instruções.
Atenção redobrada, porém: “Se você perder suas conversas do WhatsApp e não se lembrar de sua senha ou chave, não será possível restaurar seu backup. O WhatsApp não pode redefinir sua senha nem restaurar seu backup para você.” Via @zuck/Facebook (em inglês), WhatsApp.
Quando a tela do notebook da designer Therry Lee queimou, ela recorreu a um técnico para consertá-la. Ele arrumou a tela, mas abusou da confiança e boa-fé dela para acessar fotos e vídeos pessoais de Therry.
No fio em que compartilha essa história de terror, Therry explica como descobriu o acesso indevido e dá algumas dicas gerais. O ponto crítico da situação é este aqui: “Ele me pediu a senha do notebook (13h01) para instalar drivers necessários da tela, eu dei (sim, eu dei, eu confiei, eu acreditei como qualquer um).”
Nunca, jamais, em hipótese alguma forneça a senha do seu computador ou celular a terceiros. Quando tiver que levar o computador à assistência, certifique-se de que o disco esteja criptografado. Caso a assistência exija acesso ao computador (para instalar algo ou rodar testes), faça backup, formate-o e entregue ele seu os seus dados.
Nem sempre isso é possível ou fácil. Em um notebook com a tela quebrada, como no caso da Therry, seria necessário um monitor (ou TV) e um cabo HDMI para conectá-lo e fazer esse ajuste. O que não invalida a recomendação de nunca, jamais, em hipótese alguma fornecer a senha do computador ou celular para quem quer que seja. Via @therrylee/Twitter.
Atualização (4/6/2022): A versão original desta nota orientava o(a) leitor(a) a criar outro usuário administrador no computador para entregá-lo à assistência técnica. Conforme apontado nos comentários, essa orientação pode não ser suficiente, a depender do nível técnico da assistência e de outras configurações do computador, para impedir o acesso não autorizado aos arquivos. A orientação foi alterada para uma mais rígida e segura.
A Amazon anunciou um punhado de novos produtos em um evento nesta terça (28). O principal foi o robô doméstico Astro — parece um aspirador de pó, mas ele não tem essa habilidade. O Astro faz vários truques comuns da Alexa (seu “rosto” é um Echo Show 10 colado em uma base com rodas, motores, câmeras e sensores). Sua velocidade é de até 1 metro por segundo e ele tem uma câmera do tipo periscópio e um pequeno compartimento de cargas na parte de trás. A própria Amazon admite que o Astro ainda é meio inútil, mas acredita que esse tipo de produto será comum nas casas norte-americanas dentro de uma década, por isso aposta nele desde já. Via Amazon (em inglês), The Verge (em inglês).
Quase ao mesmo tempo em que a Amazon falava do Astro, a Vice publicava documentos internos vazados da empresa em que engenheiros questionam a precisão da identificação de rostos do Astro e criticam a fragilidade do hardware e a “inteligência” do produto. Sem surpresa, um deles, que trabalhou no projeto, definiu o Astro como “um pesadelo de privacidade”. O privilégio de colocar um robô da Amazon que te persegue dentro de casa custa US$ 999 lá fora, apenas para “convidados”. Via Vice (em inglês).
De todas as bugigangas anunciadas, duas chegarão ao Brasil e já tiveram seus preços locais revelados: a segunda geração do Echo Show 81 (R$ 999, lançamento em 7 de outubro) e o novo Echo Show 151 (R$ 1.899, sem data de lançamento), uma espécie de monitor/quadro digital de 15,6″.
O Chrome 94, lançado nesta terça (21), trouxe suporte a uma API de detecção de ociosidade. Segundo um site do Google, essa API “notifica os desenvolvedores quando um usuário está ocioso, indicando coisas como falta de interação com o teclado, mouse, tela ativação de um protetor de tela, bloqueio da tela ou alternância para uma tela diferente”. Via The Register (em inglês).
O que pode dar errado?
Apple e Mozilla rejeitaram formalmente adotarem a API de detecção de ociosidade. Em julho, Tantek Çelik, líder de padrões web da Mozilla, explicou a decisão da dona do Firefox: “Da maneira como especificada atualmente, consider a API de detecção de ociosidade muito tentadora enquanto uma oportunidade para sites motivados pelo capitalismo de vigilância para invadir um aspecto da privacidade física do usuário.”
A ProPublica publicou uma longa reportagem mostrando os bastidores da moderação no WhatsApp. O assunto nunca está presente no marketing e nas manifestações públicas do Facebook, afinal, o WhatsApp é criptografado de ponta a ponta, certo? Sim, mas isso não significa que seja à prova de bisbilhoteiros. O Facebook contrata pelo menos 1 mil revisores/moderadores para analisar conteúdo do WhatsApp denunciado por usuários, além de sistemas de inteligência artificial que analisam os meta dados (que não são criptografados de ponta a ponta) em busca de comportamentos suspeitos.
A reportagem da ProPublica apanhou por, a princípio, sugerir erroneamente que o sistema de moderação do WhatsApp implicava em uma quebra da criptografia de ponta a ponta. Não é o caso. Quando se denuncia uma mensagem, ela e as quatro imediatamente anteriores (incluindo fotos e vídeos) são encaminhadas ao sistema de moderação, que atua como uma ponta, como se fosse um contato qualquer do aplicativo.
Tecnicalidades à parte, o alerta é importante. Ativistas, insurgentes, jornalistas e outros perfis sensíveis correm riscos ao confiarem irrestritamente na alardeada privacidade do aplicativo do Facebook. A reportagem da ProPublica cita o caso de uma ex-funcionária do Departamento do Tesouro norte-americano que vazou dados de transações suspeitas com a Rússia ao BuzzFeed News, pelo WhatsApp, e acabou identificada pelo FBI graças aos meta dados. Via ProPublica (em inglês).
O ProtonMail, serviço de e-mail criptografado com sede na Suíça, forneceu à Europol, a pedido da Justiça suíça, os endereço de IP usados pelo grupo ativista francês Youth for Climate para acessar o serviço. Não se sabe, de fonte oficial ou fidedigna, quais atividades do grupo desencadearam o pedido. Relatos desencontrados em redes sociais alegam que o grupo estava invadindo propriedades em Paris.
Nas redes, outros usuários do ProtonMail estão reclamando de uma possível quebra de confiança. O problema estaria em uma frase, no site oficial do serviço, que diz que “por padrão, não mantemos relatórios de IPs que possam ser conectados à sua conta de e-mail anônima”. A política de privacidade, porém, prevê a possibilidade de cessão de dados se requisitados pelas autoridades suíças.
Andy Yen, fundador e CEO do ProtonMail, explicou no Twitter que, “pela lei, o ProtonMail precisa colaborar com investigações criminais suíças”, que a coleta do IP dos usuários “obviamente não é feita por padrão, mas apenas quando legalmente exigida”, e que apesar do histórico de resistência a ordens do tipo por parte do ProtonMail, neste caso não havia alternativas para recorrer da decisão, proferida pelo Departamento de Justiça Federal da Suíça.
Ainda segundo Andy, desde 2015 o ProtonMail publica relatórios anuais de transparência e em 2020 a empresa contestou mais de 700 pedidos de quebra de sigilo dos seus usuários. Via @tenacioustek/Twitter (em inglês), r/ProtonMail (em inglês).
A Apple adiou a liberação (que só ocorreria nos Estados Unidos) das novas ferramentas de proteção contra abusos infantis que liberaria no iOS 15. “Com base nas opiniões de consumidores, ativistas, pesquisadores e outros, decidimos dedicar mais tempo nos próximos meses para coletar dados e fazer melhorias antes de liberar esses recursos importantes de segurança infantil”, alegou em um comunicado à imprensa. Via 9to5Mac (em inglês).
Relembrando, um desses recursos consiste em analisar fotos armazenadas em celulares e tablets (iOS, iPadOS) atrás de assinaturas de imagens que batam com as de imagens de abusos infantis conhecidas das autoridades, algo sem precedente na indústria.
A alardeada primeira decisão judicial com base na Lei Geral de Proteção de Dados (LGPD), de setembro de 2020, que condenou a construtora Cyrela ao pagamento de indenização de R$ 10 mil por vazar dados de um cliente, foi reformada pelo Tribunal de Justiça de São Paulo (TJ-SP). De acordo com a relatora, desembargadora Maria do Carmo Honório, a aplicação da LGPD não cabia ao caso, visto que não estava em vigor na data da sentença, e não há prova inequívoca de que foi a Cyrela quem repassou os dados pessoais do autor aos prestadores de serviços que o contataram por e-mail e WhatsApp. A defesa do cliente vai recorrer. Via Conjur.