Privacidade

15

Na ação antitruste dos dez estados contra o Google, um trecho faz referência ao WhatsApp. Lê-se nele: “O Google também violou a privacidade dos usuários de outras maneiras flagrantes quando era conveniente ao Google. Por exemplo, logo após o Facebook adquirir o WhatsApp, em 2015, o Facebook assinou um acordo exclusivo com o Google, garantindo ao Google acesso a milhões de mensagens de WhatsApp criptografadas, fotos, vídeos e áudios de norte-americanos.”

O parágrafo contém várias partes omitidas, o que dificulta entender os detalhes. Uma hipótese é que esse acordo se refira ao backup de mensagens do WhatsApp em celulares Android, feito no Google Drive e que, ao contrário das mensagens que ficam nos aparelhos, não é criptografado de ponta a ponta. (O mesmo problema ocorre no iOS/iCloud.) Se o Google realmente estiver bisbilhotando backups do WhatsApp para extrair informações de consumo dos usuários Android, temos um grande escândalo aqui.

A ação pode ser lida neste link (em inglês).

O Superior Tribunal de Justiça (STJ) decidiu que o WhatsApp não pode ser punido, com multa ou bloqueio, por não entregar informações solicitadas pela Justiça devido ao emprego de criptografia de ponta a ponta. Em 2015, o WhatsApp, então já muito popular no Brasil, foi bloqueado no Brasil inteiro por decisão de um juiz de primeira instância de Lagarto (SE). Lembra disso? Foi o caos.

O Acórdão ainda está sendo redigido, portanto faltam detalhes. Importa notar, por exemplo, que os meta dados do WhatsApp não são criptografados de ponta a ponta. Via Convergência Digital.

Agora é lei no estado de São Paulo: farmácias não podem mais exigir o CPF dos consumidores para conceder descontos “sem informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo.” A violação da lei pode custar 200 UFESPs (R$ 5.522). Além disso, as farmácias e drogarias terão que afixar avisos com os dizeres “Proibida a exigência do CPF no ato da compra que condiciona a concessão de determinadas promoções.”

O projeto de lei foi proposto em 2019 pelo deputado Alex de Madureira, do PSD. A lei 17.301 foi sancionada e publicada no Diário Oficial desta quarta (2) e já está valendo. Que sirva de exemplo para uma lei nacional no mesmo sentido. Via @rafa_zanatta/Twitter.

1

Mais um login e senha de um banco de dados de cidadãos brasileiros do Ministério da Saúde estava dando sopa por aí. Desta vez, as credenciais vazadas davam acesso a um sistema que armazena dados cadastrais de todos os brasileiros. Os registros vazados contêm dados como CPF, nome completo, endereço e telefone de 243 milhões de brasileiros — número maior que o da população porque, segundo a reportagem do Estadão, há informações de pessoas que já morreram. Via Estadão (com paywall).

1

A repercussão daquela notícia de que o Microsoft 365 atribui uma “pontuação de produtividade” aos funcionários, acessível ao empregador, pegou mal. Graças a ela, a Microsoft anunciou mudanças no produto. Jared Spataro, VP corporativo de Microsoft 365, disse em um post que os nomes dos funcionários serão removidos, e que daqui em diante a “pontuação de produtividade somente agregará dados no nível da organização”, ou seja, que “ninguém na organização conseguirá acessar dados de como um usuário específico está usando apps e serviços no Microsoft 365.” Via Microsoft (em inglês).

7

A partir de 18 de janeiro de 2021, as extensões do Chrome exibirão, na Chrome Web Store, detalhes de quais tipos de dados elas coletam “em linguagem clara e fácil de entender”, parecido com o que já rola nas lojas de apps para celulares. Outra mudança importante é que passa a ser proibido usar ou transferir dados dos usuários para personalizar anúncios, fazer análise de crédito e repassá-los a qualquer espécie de data broker.

São medidas tardias, mas bem-vindas. O histórico de navegação web contém dados muito sensíveis; é possível inferir muita coisa apenas com base nele. Além do impacto no desempenho do navegador, a instalação de extensões abre brechas à privacidade — um alerta que fiz no último Guia Prático.

Note que é bastante difícil ao Google aplicar as novas diretrizes que impedem os donos de extensões de transferirem ou usarem dados do usuário para fins proibidos. Na dúvida, a recomendação é instalar o mínimo possível de extensões. Via Chromium Blog/Google (em inglês).

6
Três prints mostrando o popup pedindo autorização para rastreamento no Chess Time e, nas duas outras, a nova tela de Rastreamento nas opções de privacidade do iOS 14.
Clique para ampliar.

O iOS 14 trouxe um novo recurso de privacidade chamado App Tracking Transparency (ATT). Ele exige que os desenvolvedores de aplicativos peçam autorização ao usuário para rastreá-lo em outros apps e sites. O ATT foi lançado junto ao iOS 14, em outubro, e a princípio seria obrigatório, mas graças à choradeira de empresas como o Facebook, a Apple adiou a obrigatoriedade do seu uso para o início de 2021.

O não obrigatoriedade não impede que os donos de apps já peçam a autorização dos usuários para rastreá-los. Deparei-me com o primeiro pedido do tipo neste domingo (22), no app Chess Time, da Haptic Apps. Ainda não tinha lido a tradução em português da mensagem. Ela diz:

“[App]” deseja permissão para rastrear você entre apps e sites de propriedade de outras empresas.

A mensagem menor, em texto sem negrito, aparentemente é de responsabilidade do desenvolvedor. A do Chess Time explica que o rastreamento ajudará a personalizar anúncios.

Após o primeiro pedido, uma nova área aparece dentro de Privacidade, nos Ajustes.

5

Em algum momento dos últimos meses, o Firefox Relay, foi liberado para todo mundo — no início, estava restrito a convites. Ainda em beta e grátis, ele oferece cinco “máscaras” (ou aliases). Espera-se que, se lançado oficialmente, a Mozilla ofereça um plano pago que remova esse limite.

O Firefox Relay permite criar “máscaras” de e-mail para proteger a privacidade do seu endereço. Em vez de dar o seu e-mail principal num cadastro qualquer, por exemplo, você cria uma máscara/alias (rl4as8r3@relay.firefox.com, por exemplo) que redirecionará mensagens ao seu endereço. Se um dia essa máscara/alias vazar ou começar a enviar mensagens indesejadas, bastará excluí-la para resolver o problema. Dica do leitor Ricardo Santos, via e-mail.

11

Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.

O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:

  1. Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
  2. No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.

Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.

O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:

  • Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
  • Proteções mais robustas contra falhas de servidor; e
  • Uma nova opção aos usuários para desativar essas proteções de segurança.

A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.

Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!

Motoristas que moram em uma região com alto índice de roubo e furto podem ser beneficiados caso a seguradora detecte que eles transitam prioritariamente pelas vias menos visadas por ladrões.

— Eduardo Sodré

Nesta coluna, Eduardo Sodré nos apresenta a uma direção do mercado ainda menos atenta à privacidade das pessoas e, não bastasse isso, com um grande potencial para reforçar estigmas e preconceitos. Tenho certeza que qualquer planejador urbano poderia tecer longos comentários sobre o absurdo da proposta citada acima. Via Folha.

3
1

O WhatsApp agora permite que conversas individuais e em grupos sejam temporárias: após sete dias, elas somem automaticamente. O recurso é bem mais simples que as implementações de outros apps (Signal, Telegram), e talvez seja uma boa, para evitar confusão. Existem várias exceções à exclusão automática, como encaminhamentos a outras conversas e arquivos de mídia salvos na memória, então é uma boa ler a breve documentação oficial. Via WhatsApp.

Clientes do James Delivery, do Grupo GPA, que têm seus e-mails cadastrados no Have I Been Pwned (HIBP, serviço de monitoramento de vazamentos) receberam nesta quinta (5) um alerta de que seus dados no James vazaram. O vazamento ocorreu em março deste ano, foi divulgado em junho e afetou pouco mais de 1,5 milhão de pessoas. Segundo o HIBP, os dados vazados são endereço de e-mail, localizações dos clientes (expressas em latitude e longitude) e senhas criptografadas. Via HIBP (em inglês).

Sempre que acesso um site estranho e aquele popup pedindo meu consentimento para coletar dados é apresentado, dou uma vasculhada à procura de links e botões para negar a coleta. Nem todos têm isso, mas alguns sim, e é sempre um choque perceber que um site qualquer, às vezes aparentemente inofensivo, é capaz de sugar uma tonelada de dados de um simples acesso.

Ontem caí em um link do Yahoo e fui surpreendido pela página de consentimento mais longa que já vi até agora. São centenas de empresas “urubuzando” a minha singela tentativa de ler uma notícia no site do Yahoo. Veja o vídeo acima; a essa altura, virou uma piada sem graça. Não é possível que isso seja sustentável ou economicamente saudável. O Yahoo é uma propriedade da operadora norte-americana Verizon.

1

Notebooks emprestados aos alunos pela Universidade Federal do Sul da Bahia (UFSB) estavam com um app espião chamado KidLogger. Destinado a controle parental, o app grava sons, imagens, salva senhas e histórico de conversas privadas.

Após denúncias em redes sociais, a UFSB divulgou uma nota na quinta (22) informando que recolherá os notebooks para análise. Ontem (23), a Comissão Permanente de Atividade Correicional da universidade abriu uma sindicância para apurar os fatos. Via @jvixcxtor/Twitter, DCEUFSB/Facebook.

O Facebook anunciou três novidades para o WhatsApp Business, a versão para empresas que querem fazer negócios dentro da plataforma: 1) Compras sem sair do app; 2) Serviços de hospedagem do próprio Facebook, o que permitirá que as empresas tenham vários terminais com acesso à mesma conta do Business; e 3) Passará a cobrar por alguns serviços das empresas que usam o Business (alguns tipos de mensagens já são cobrados; isso será expandido).

São mudanças que transformam o WhatsApp Business em uma solução completa, verticalizada e escalável de comércio online. (Neste vídeo promocional dá para ver toda a jornada do cliente, incluindo o checkout.)

Também chama a atenção, e esta talvez seja a grande história enterrada neste anúncio, que as conversas com empresas que terceirizam a operação da API do WhatsApp Business não são criptografadas de ponta a ponta. Não sei se isso é novidade; pessoalmente, não sabia. E em breve, quando o próprio Facebook estiver disponível como um desses operadores terceirizados, “as empresas [que adotarem os serviços do Facebook] poderão usar as conversas para fins de marketing, o que inclui fazer publicidade no Facebook”.

As novidades estarão disponíveis nos próximos meses. Via WhatsApp, TechCrunch.