Privacidade

1

Não é só o DuckDuckGo que bloqueará o FLoC, novo método de rastreamento de usuários do Google. Nos últimos dias, os navegadores Brave e Vivaldi (ambos baseados no Chromium) e as extensões AdGuard e uBlock Origin também já anunciaram que bloquearão o FLoC.

Por ora, o Google está testando o FLoC em um pequeno grupo de usuários (0,5%) em alguns países, Brasil entre eles. A Electronic Frontier Foundation (EFF) publicou um site que verifica se o FLoC está ativo no seu navegador. Clique aqui para conferir.

Não sabe o que é FLoC? Leia isto.

3

Depois de Facebook e LinkedIn, agora foi a vez do Clubhouse ter dados vazados. A técnica foi a mesma: raspagem de dados mediante uma API pública sem muito controle. No caso do Clubhouse, foram 1,3 milhão de registros, cada um com alguns dados públicos como nome, foto, data da criação da conta e número de seguidores, que estão sendo distribuídos gratuitamente em um fórum na internet.

O Clubhouse protestou no Twitter, dizendo que os dados não vieram de um hacking ou vazamento. O caso é menos problemático que o do Facebook, pela escala e pelos dados obtidos, e o debate é válido: abusar de uma API para consolidar dados públicos em bancos de dados acessíveis é o mesmo ou equiparável a hackear? Via CyberNews (em inglês).

5

O DuckDuckGo (DDG) declarou guerra ao FLoC, novo método de rastreamento que o Google usará para direcionar anúncios no lugar do rastreamento individual, via cookies. Todas as ações no buscador do DDG serão blindadas do FLoC e sua extensão oficial estenderá a proteção a toda a web. Outra forma de escapar da vigilância do Google é usando qualquer navegador que não seja o Chrome, até agora único compatível com a nova tecnologia. Via DuckDuckGo (em inglês).

Veja também:

2

A reação do Facebook ao vazamento de +500 milhões de números de telefone de usuários e outros dados pessoais da rede social tem sido fascinante.

“É importante entender que os agentes mal-intencionados obtiveram esses dados não por meio de hacking em nossos sistemas, mas através da raspagem desses dados em nossa plataforma antes de setembro de 2019”, diz a empresa num post sob o título “Entenda os fatos por trás da notícia sobre dados do Facebook” (qual notícia?), como se fizesse alguma diferença o “modus operandi” ou a data da pilhagem de dados.

Fato é que os dados pessoais de meio bilhão de pessoas, que estavam sob a guarda do Facebook, agora estão sendo distribuídos de graça no esgoto da internet.

Alguns parágrafos abaixo, o Facebook diz que “Quando soubemos que esse recurso estava sendo usado de forma indevida em 2019, fizemos alterações ao importador de contatos”. Ora, se não foi hacking, não havia falha, e se não havia falha, por que foram feitas “alterações ao importador de contatos”? Parece até que o Facebook está adotando o duplipensar como estratégia de comunicação. Via Facebook.

12

O Signal começou a testar um recurso de transferência de dinheiro usando a MobileCoin, uma “privacy coin”, ou criptomoeda que se esforça para preservar o anonimato dos usuários e das transações (ao contrário do bitcoin, esses dados não ficam expostos numa blockchain pública). Por ora, as transferências só estão disponíveis no Reino Unido, pelos apps para Android e iOS.

A notícia preocupa. Em entrevista à Wired, Moxie Marlinspike, criador do Signal e CEO da fundação responsável pelo aplicativo, argumenta que o objetivo é dar às transações financeiras o mesmo tratamento privado existente para a comunicação, o que parece uma premissa falha — existem numerosos cenários que justificam conversas privadas; já para transações financeiras, só consigo imaginar cenários ilegais, como lavagem de dinheiro. Ao misturar as duas coisas, periga enfraquecer o argumento da privacidade nas comunicações em vez de fortalecer o da privacidade como um todo.

A novidade também borra o foco do Signal, que sempre foi um app de mensagens, e com certeza atrairá um escrutínio pesado de governos e órgãos reguladores. Moxie dá a entender que a oferta de transferências financeiras seja um imperativo competitivo, como se o destino de todos os apps de mensagens fosse virar os super apps chineses. Não precisa ser assim.

O maior impacto, porém, é na confiança. Para muita gente — e eu me incluo nesse grupo —, é forte a associação entre criptomoedas e atividades suspeitas e ideias malucas. O Signal sempre teve um foco cirúrgico em manter conversas privadas. Agora, não mais. O clima no tópico de discussão da novidade está péssimo. Via Signal (em inglês), Wired (em inglês).

5

Um banco de dados com registros de 533 milhões de usuários do Facebook foram disponibilizados gratuitamente na internet. O banco contém números de telefone, IDs do Facebook, nomes completos, localizações, aniversários, biografias, status de relacionamento, data da criação do perfil e, em alguns casos, endereços de e-mail, e segundo a Hudson Rock, empresa de ciberinteligência que descobriu o vazamento, provavelmente foi criado explorando uma falha do início de 2020 no Facebook que permitia capturar telefones de qualquer usuário.

O Business Insider fez alguns testes preliminares, com sucesso, para atestar a legitimidade dos dados vazados.

Alon Gal, co-fundador e CTO da Hudson Rock, especificou de quais países são os dados. No Brasil, são 8,06 milhões de perfis afetados. Via Business Insider (em inglês), @UnderTheBreach/Twitter (em inglês).

5

No Twitter, a cientista da computação e pesquisadora Nina Da Hora publicou um fio questionando as práticas de privacidade do Google em relação ao conteúdo dos usuários guardado no Google Drive.

O assunto é antigo. Em 2012, quando o Google unificou suas políticas de uso e privacidade, levantamos a questão no Gizmodo Brasil. O texto dava margem à interpretação de que os direitos sobre arquivos enviados ao Drive fossem compartilhados com o Google. Não era bem assim.

Ao longo dos anos, o texto da documentação do Google foi refinado. Hoje, a parte que se refere ao conteúdo do usuário armazenado pelo Google está mais fácil de ler. De qualquer modo, o alerta da Nina é válido; sobram histórias de arquivos apagados e contas Google excluídas sem aviso prévio ou chance de revisão.

O Google removeu a extensão ClearURLs da loja do Chrome. Esta extensão remove automaticamente elementos de rastreamento das URLs, comuns no buscador do Google e em newsletters (não na do Manual), o que aumenta a privacidade dos usuários. Os motivos alegados pelo Google são vários e alguns deles, segundo o desenvolvedor, Kevin Roebert, contraditórios. Ele já preparou uma atualização e a submeteu ao Google. Até a publicação desta nota, a extensão ainda não havia sido restabelecida. Ela pode ser usada, porém, no Firefox e no Edge. Via Bleeping Computer (em inglês).

Parece que o FLoC, novo método de rastrear usuários que o Google usará no lugar de cookies em sites de terceiros (entenda), é incompatível com a GDPR, legislação pró-privacidade europeia, e por isso não será testado em países do bloco. Vale aquela máxima: se não funciona com a GDPR, provavelmente é ruim para o mundo todo. Via AdExchanger (em inglês).

8

No Twitter, Pedro Burgos chama a atenção a uma característica comum dos países bem sucedidos no combate à pandemia de COVID-19:

Pergunta honesta: algum país conseguiu ir bem no combate à pandemia sem “violar” a privacidade dos seus cidadãos? Todos os cases de sucesso fizeram coisas que provocariam arrepios em ativistas de privacidade que conheço.

Acho que nenhum ativista prega a inviolabilidade total da privacidade dos cidadãos. (Ok, talvez gente como o Stallman, mas esses são fora da curva e estão longe de falar pela maioria.) Todos nós rotineiramente abrimos mão da privacidade, quando declaramos o imposto de renda ou fazemos um cadastro governamental para ter acesso a serviços públicos, por exemplo. O caso da Austrália, que mantém listas com dados pessoais de frequentadores de bares e restaurantes, a gente já faz aqui, voluntariamente, quando abre uma comanda — passa nome e telefone, dados bem pessoais, sem ter a menor ideia do que o estabelecimento fará com eles.

O que pesa mais ao se “violar” a privacidade não é o ato em si, mas as motivações e circunstâncias. Se há opacidade ou transparência, se há salvaguardas legais de que a cessão parcial da privacidade será restrita àquela finalidade, se temos garantias robustas de que abusos (digo, ações imprevistas) não serão cometidos.

Uma pandemia é uma situação excepcional e, como tal, faria sentido negociar suspensões temporárias de direitos a fim de combatê-la. A gente já faz isso, ainda que aos trancos e barrancos, com o direito de ir e vir, um que é ainda mais básico que o da privacidade. Não acharia ruim, por exemplo, que pessoas contaminadas ou que tiveram contato com contaminados fossem rastreadas mais de perto. Seria justificável, pois há um bem maior em jogo.

Os “cases” que o Pedro listou no fio têm um ponto em comum que me parece mais relevante que as violações à privacidade: todos os países bem sucedidos são orientais. Ele cita isso, de passagem, ao dizer que “a discussão sobre esse ‘trade-off’ passa também por especificidades culturais das sociedades em questão”, mas talvez seja mais que um mero “trade-off”; talvez este seja o principal fator de diferenciação entre o sucesso oriental e o fracasso ocidental.

No Ocidente, sabemos bem, vige a primazia do individualismo. Atribuímos à responsabilidade individual o papel de pedra fundamental da sociedade, e vamos à luta assim, no “cada um por si”, mesmo quando enfrentamos um inimigo que só pode ser vencido em conjunto, caso de uma pandemia. Os inacreditáveis protestos contra o “lockdown”, medida comprovadamente eficaz para conter a disseminação da doença, entram nessa conta — a galera de camiseta amarela e sem máscara que vai a esses protestos argumenta que o “lockdown” fere sua liberdade individual.

No Oriente, por outro lado, há um senso maior de coletividade, ou uma disposição a pequenos sacrifícios em nome de um bem maior. Suspeito (pois careço de conhecimento) que seja o caso mesmo em países mais alinhados ao Ocidente, como Austrália e Israel. Isso se reflete, e muito, em esforços coletivos. Os desastres no Brasil e nos Estados Unidos são fortes evidências de que a ingerência individual tem limites e, em situações extremas como a que vivenciamos, põe milhares de vidas em risco.

Como aponta o próprio Pedro, esse senso de coletividade é um traço cultural, ou seja, não se cria da noite para o dia, e depende de outras variáveis para florescer das quais carecemos no momento, como um nível mínimo de confiança uns nos outros e em quem nos lidera. Não é um assunto muito popular, mas fica a torcida (e o “dever de casa”) de começar a virar essa chave para que, na próxima pandemia, que infelizmente virá, estejamos melhor preparados.

6

O que Telegram e Manual do Usuário têm em comum? A visão sobre publicidade digital e privacidade.

Pavel Durov, CEO do Telegram, já disse que considera anúncios direcionados “imorais” e não deve recorrer a esse artifício quando o aplicativo passar a veicular anúncios. Na matéria do Wall Street Journal desta terça (16), sobre a dívida do Telegram, um porta-voz do aplicativo disse que pretendem mostrar que “a publicidade precisa, baseada em contexto, não só é uma alternativa ética à publicidade direcionada, mas que também pode ser tão eficiente quanto”. Nós também.

1

Prestes a completar um ano, o Clubhouse finalmente permitirá convidar pessoas para o aplicativo sem que seja necessário ceder toda a agenda de contatos. Outras novidades incluem links compartilháveis para perfil ou clube, filtros de idiomas e o lançamento de um fundo de apoio para 20 “criadores”. Via @joinClubhouse/Twiter (em inglês).

Google, privacidade e mais do mesmo

5

por Rob Horning

“A publicidade é essencial para manter a web aberta para todos, mas o ecossistema web corre riscos se as práticas de privacidade não acompanharem as mudanças de expectativas”. Esta é a frase inicial de uma atualização recente do Google do seu projeto de substituir os cookies de terceiros nos navegadores — que nos rastreiam individualmente — por algo que a empresa chama de FLoCs: grupos de interesse ad hoc aos quais indivíduos seriam designados com base em seus históricos de navegação. Como Shoshana Wodinsky explica no Gizmodo, “Qualquer dado gerado individualmente seria mantido no navegador e a única coisa que os anunciantes poderiam rastrear e segmentar seria um ‘rebanho’1 contendo um grupo agregado de pessoas semi-anonimizadas”.

(mais…)

4

Uma das poucas limitações para atividades do dia a dia que persistem no iOS é a de gravar ligações. Não dá. Os muitos apps disponíveis na App Store para esse fim usam uma gambiarra e envolvem um terceiro — a ligação passa por um servidor remoto e/ou inclui outro número, e é nesse ambiente externo que a gravação é feita.

Até funciona, mas o risco é enorme. Nesta semana, por exemplo, o popular app gravador de chamadas, de Arun Nair, expôs 130 mil áudios de chamadas telefônicas armazenados em um servidor exposto na Amazon. Via MacMagazine.

Como fazer, então? Compre um Android Quem tem um iPhone e um Mac pode “transferir” a ligação para o computador, graças ao recurso Continuidade. Aí, com um aplicativo do macOS como o Piezo, que grava todo o áudio que entra e sai no computador, dá para gravar a chamada. É assim que faço aqui e funciona muito bem.

1

Existe um buraco na criptografia de ponta a ponta do WhatsApp: os backups na nuvem. Tanto no Android (Google Drive) quanto no iOS (iCloud), os backups na nuvem não são criptografados de ponta a ponta, o que significa que alguém que obtenha acesso a esses espaços pode ler as mensagens salvas.

Isso parece prestes a mudar. O WABetaInfo encontrou vestígios em uma versão de testes do WhatsApp de uma nova opção para criptografar backups do aplicativo. Ainda não se sabe quando o recurso será liberado. Via @WABetaInfo/Twitter.