O navegador Brave anunciou a aquisição do buscador Tailcat, desenvolvido pela Cliqz, uma empresa que tinha seu próprio navegador focado em privacidade e que fechou as portas em abril de 2020. O objetivo do Brave é oferecer uma alternativa privada ao Google. Além dos “anúncios éticos”, que já são veiculados no navegador, o Brave quer oferecer uma versão paga do futuro buscador que não exibiria anúncios. Via The Register (em inglês).
Privacidade
Com 20 anos de atraso, o Google reconheceu que monitorar os usuários por toda a web é uma prática abusiva e anunciou, com um texto pra lá de confuso, que a abandonará. Ou algo parecido com isso.
A parte que importa do comunicado é esta:
Hoje deixamos claro que, com a desativação gradual dos cookies de terceiros, não vamos criar identificadores alternativos para rastrear pessoas que navegam pela internet — e tampouco usaremos esse tipo de identificador em nossos produtos.
Cookies de terceiros são uma maneira antiga e muito difundida de rastrear usuários em sites diversos. O Firefox da Mozilla e o Safari da Apple bloqueiam essa prática desde setembro de 2019. O Chrome do Google ainda vai bani-lo até o início do ano que vem. A novidade é que, ao contrário de outras empresas de publicidade, o Google não pretende criar um substituto para os cookies de terceiros.
Note que o anúncio só se refere a sites da web. O Wall Street Journal pontua que ele não contempla as ferramentas de anúncios e identificadores únicos usados em apps de celulares. E, talvez mais importante, que a medida não atinge os “first-party data”, ou seja, dados coletados pelo Google em suas propriedades. Não deve ser coincidência que, desde o ano passado, mais da metade das pesquisas do Google terminam na página de resultados.
Talvez o Google não precise mais disso pela hegemonia que alcançou em duas décadas de abusos? Ou consiga os dados de outras maneiras que não via sites de terceiros? Afinal, além do buscador mais usado do planeta, o Google também tem o navegador mais popular de todos.
“Ninguém deve ser obrigado a aceitar ser rastreado enquanto navega em troca do benefício de ver anúncios relevantes para o seu perfil”, diz o comunicado em outro trecho. Só rindo.
Ainda quero ler mais opiniões e análises desta mudança. Há quem diga que ela é paradigmática, que pode afetar todo o ecossistema de publicidade digital, em especial as empresas menores. A conferir. Via Google, Wall Street Journal (em inglês, com paywall).
Novidades legais de dois serviços usados por este Manual do Usuário.
O Buttondown, ferramenta de disparo de newsletters, tornou o monitoramento via pixel espião desativado por padrão para novas newsletters. (Entenda a questão.) No anúncio, Justin Duke, criador e mantenedor do serviço, diz que pretende fazer algumas mudanças para oferecer informações da newsletter sem que o dono dela precise recorrer ao pixel espião. No aguardo!
(O Manual já optava por não usar pixel espião nem monitorar de qualquer modo os assinantes da newsletter.)
O FeedLetter, serviço de feedback para newsletters (aquelas “notas” que aparecerem no final da mensagem), encerrou o período de apoio inicial, em que Jens Boje, criador e mantenedor do serviço, concedia um desconto especial. A mudança veio acompanhada de algumas novidades e de um mapa dos próximos recursos que serão implementados, e fortalece o compromisso de manter o serviço de pé, funcionando e recebendo manutenção.
Uma coisa muito legal que o Jens faz é o “desconto de paridade”. Em lugares onde o dólar é muito caro, ele concede um desconto para adequar o custo do FeedLetter à realidade local. No momento, três usuários se beneficiam da paridade — eu sou um deles.
Sempre procuro trabalhar com parceiros e fornecedores alinhados aos princípios que norteiam o Manual do Usuário, como o Buttondown e o FeedLetter.
Em março de 2020, publiquei neste Manual uma reportagem sobre a falta de privacidade das ferramentas de newsletter. O assunto voltou à tona agora, com mais força, graças a três fatores: o serviço de e-mail pago Hey (que bloqueia pixels espiões por padrão), esta reportagem da BBC e a campanha No To Spy Pixels lançada por Dave Smyth — todos, coincidentemente, britânicos.
Pixels espiões também são usados em e-mails um-para-um, para avisar o remetente quando o destinatário abre sua mensagem.
A renovada atenção a esse assunto ainda não tem força para fazer um Mailchimp ou Substack da vida rever suas políticas e configurações padrões, mas colocou em destaque alguns remédios.
O principal e mais simples deles é bloquear o carregamento de imagens remotas nas mensagens. O Fastmail, por exemplo, publicou um post informando que há anos protege seus usuários dessa maneira. Apps de e-mail não executam JavaScript, o que inviabiliza métodos tradicionais na web de monitoramento do usuário. O método padrão para aferir estatísticas nos e-mails, então, consiste em inserir na mensagem uma imagem minúscula e invisível, o tal “pixel espião”, que ao ser requisitada pelo aplicativo de e-mail ao servidor, “avisa” que a mensagem foi aberta e transmite outros dados, como o endereço IP (que expõe a localização aproximada do usuário).
Bloquear o carregamento de imagens remotas é uma solução básica e funcional, mas pode ser imperfeita por ser do tipo “8 ou 80”, ou seja, ou carrega todas as imagens (incluindo o pixel espião) ou nenhuma. O já citado Hey tem uma lista de bloqueio inteligente que bloqueia apenas os pixels espiões, mantendo o carregamento de outras imagens. Essas passam por um proxy, para que ao serem carregadas não revelem o IP do usuário. Fastmail e Gmail (!) também funcionam assim.
Para quem usa webmail, existem extensões de navegador que bloqueiam pixels espiões, como a Trocker (Chrome, Firefox), PixelBlock 2 (Chrome, apenas para Gmail) e Ugly Email (Chrome e Firefox, apenas para Gmail). O Mail, aplicativo padrão do macOS, tem um plugin gratuito que bloqueia pixels espiões, o MailTrackerBlocker.
A loja de apps para Android de um mundo ideal existe
Um dos grandes diferenciais do Android em relação ao iOS que ainda resistem à convergência dos dois sistemas, que a cada nova versão ficam cada vez mais parecidos, é o suporte a lojas de aplicativos alternativas. Se no iOS você só pode baixar apps da App Store, no Android é possível instalar lojas alternativas. Não é simples habilitá-las e a hegemonia da Play Store, a oficial do Google que já vem pré-instalada, deixa pouco espaço para rivais, mas a possibilidade existe e viabiliza o surgimento de pequenas pérolas, como o F-Droid.
O WhatsApp retomou os esforços públicos para passar a nova política de privacidade junto aos usuários. Em um post publicado na última sexta (18), a empresa informou que está usando o Status (os stories dentro do WhatsApp) para comunicar novidades e seus princípios diretamente aos usuários, e que esse “é o primeiro passo de muitos outros que virão para que possamos nos comunicar com ainda mais clareza com todos”. Um desses passos deve ser uma tela reformulada, mais simples, sobre a nova política de privacidade — o WABetaInfo encontrou-o numa versão beta. Via WhatsApp, WABetaInfo (em inglês).
Uma atualização na documentação do WhatsApp informa o que acontecerá a partir de 15 de maio com aqueles que não aceitarem a nova política de privacidade. Em resumo, “[p]or um curto período, você ainda poderá receber chamadas e notificações, mas não poderá ler nem enviar mensagens pelo app”. Via WhatsApp.
Para entender o que de fato muda com a nova política de privacidade do WhatsApp, leia isto.
Mais de dois meses depois das últimas atualizações para seus principais apps no iOS, o Google voltou à ativa na plataforma da Apple. O primeiro foi o YouTube. No histórico de atualizações, a mais recente, 15.49.6 de 13 de fevereiro, se limita a dizer que “Corrigimos bugs, melhoramos o desempenho e tomamos muito café”. Pouco antes, o Google havia incluído o “rótulo nutricional” de privacidade do YouTube na App Store. Como era de se esperar, a lista é looonga…
Outros apps populares do Google, como o homônimo (de pesquisa), Gmail, Google Maps e Chrome, seguem sem atualização e sem os rótulos de privacidade. A última atualização do Chrome foi em 23 de novembro de 2020 e o app, na versão 87 no iOS, já está atrasado em relação às demais plataformas. Via 9to5Mac (em inglês).
Muitos sites recorrem a CDNs, grandes redes globais de distribuição de arquivos via internet, para carregar bibliotecas e códigos necessários para que sejam exibidos corretamente. Nessa, “avisa” essas redes e grandes empresas, como Google e Microsoft, dos locais onde você está navegando na web. A extensão LocalCDN detecta, intercepta e substitui essas requisições por cópias locais das bibliotecas (mais de 100) e CDNs (27) mais comuns. Na prática, ou seja, na janela do seu navegador, não muda nada, e a extensão dispensa qualquer configuração para surtir efeito. Para Firefox (recomendado) e Chrome (extraoficial e com menos recursos).
Com tantos dados pessoais correndo por aí, o Registrato do Banco Central fica ainda mais importante. Trata-se de um serviço que exibe, num único extrato, todas as suas contas, empréstimos, financiamentos, chaves Pix e transferências internacionais que você já fez. Este vídeo explica bem.
O cadastro no Registrato exige um PIN, que é gerado pelo app do seu banco (deve ter uma opção “Registrato” no menu dele). O único contra, até onde sei, é que o serviço não comunica alterações, ou seja, é preciso acessá-lo vez ou outra para ver se houve alterações.
Ah, e a página de cadastro do Registrato está com algumas instabilidades no momento, não carregando. Paciência. Dica do r/investimentos.
A PSafe encontrou outro banco de dados enorme de brasileiros sendo comercializado na “dark web”. Desta vez, são pouco mais de 100 milhões de cadastros de celulares, das operadoras Claro e Vivo, com dados detalhados incluindo nome, telefone, endereço e o histórico de relacionamento com a operadora. Para comprovar a veracidade, o cibercriminoso enviou dados do presidente Jair Bolsonaro (sem partido) e da apresentadora Fátima Bernardes. A PSafe enviará um relatório detalhado da descoberta à Autoridade Nacional de Proteção de Dados (ANPD). Via Neofeed.
Em Beverly Hills, um policial ligou em volume alto a música Santeria, hit do Sublime dos anos 1990, enquanto era filmado por um ativista. Suspeita-se que o policial estava tentando alavancar o sistema de detecção de direitos autorais de plataformas como YouTube e Instagram para que o vídeo fosse derrubado. Nem William Gibson conseguiria prever esse tipo de distopia. Via Vice (em inglês).
Quando gráficos contam melhor uma história que palavras: o ciclo de atualizações dos apps do Google antes e depois de 8 de dezembro de 2020, quando a Apple passou a exigir que aplicativos publicados na App Store (iOS) revelem quais dados pessoais coletam dos usuários. E vamos para dois meses sem atualizações do Google para iOS… Via @Thomasbcn/Twitter.
O O&O ShutUp10 é um pequeno utilitário com mais de uma centena de opções para tornar o Windows 10 menos bisbilhoteiro. Ele permite desativar recursos de telemetria e “inteligentes”, que embora possam ser convenientes, por vezes só o são à custa da privacidade do usuário. O app é gratuito para usuários domésticos e não precisa ser instalado, e oferece botões simples para fazer configurações em lote (“ativar configurações recomendadas” ou “ativar tudo”, por exemplo). Download aqui.
O Facebook vai se antecipar e pedir aos usuários de iPhone que permitam que sejam rastreados em outros apps. O novo recurso, chamado App Tracking Transparency (ATT), estreou no iOS 14 e será obrigatório no iOS 14.5, que teve o primeiro beta foi liberado nesta segunda (1). Via CNBC (em inglês).
Na mensagem que o Facebook disparará aos usuários (acima), a empresa diz que o rastreamento a ajuda a fornecer anúncios mais personalizados e a apoiar pequenos negócios que dependem de anúncios para alcançarem seus clientes.
Apple e Facebook vêm se bicando não é de agora, mas o clima esquentou desde a introdução do ATT no iOS 14, em novembro de 2020, que obriga apps que queiram rastrear o comportamento do usuário em outros apps e em sites a obterem o consentimento expresso dele. A medida deve impactar diretamente o faturamento do Facebook, cujo principal negócio, o da publicidade, está calcado na coleta e processamento de grandes quantidades de dados dos usuários.
Semana passada, em um evento virtual organizado pela União Europeia, Tim Cook, CEO da Apple, teceu duras críticas direcionadas ao Facebook — sem mencionar o nome da empresa —, como a de que priorizar engajamento em detrimento da privacidade leva à violência e polarização. Via 9to5Mac (em inglês).
O desenvolvedor Allan Fernando Armelin da Silva Moraes criou o FuiVazado!, um site para que brasileiros consultem se seus dados (e quais deles) estão no mega vazamento de janeiro. Após alguns dias praticamente inacessível devido ao volume de acesso (quase meio milhão só no dia 29), na manhã desta segunda (1) ele não estava congestionado.
Especialistas divergem sobre a legalidade do site, porém. Para fazer a consulta, ele pede CPF e data de nascimento. Na tela seguinte, exige uma lista apontando quais dos 37 tipos de dados presentes no vazamento há os do usuário que fez a consulta. Via Uol Tilt.
Atualização (13h30): O Allan divulgou o código-fonte do site no GitHub.
Atualização (11h25): Muita gente levantou suspeitas da idoneidade do site FuiVazado!. Risco sempre existe, e se por um lado o fato do autor ter se identificado ajuda a mitigá-lo, por outro o código do site não ser aberto joga contra. Não me parece, porém, pelas declarações do Allan e seu histórico, que ele esteja por trás de algum plano mirabolante para coletar dados e/ou validar os do banco vazado. Em todo caso, o receio é compreensível e caso se sinta desconfortável com as circunstâncias do FuiVazado!, é aconselhável não fazer a consulta.