Como as empresas coletam legalmente seus dados - e como interrompê-los

Publicados Atualizada
Cover image for: Como as empresas coletam legalmente seus dados - e como interrompê-los

Em 2018, descobriu-se que o Cambridge Analytica havia coletado os dados de pelo menos 87 milhões de usuários do Facebook sem o seu conhecimento , depois de obtido através de alguns milhares de contas que usavam um aplicativo de questionário.

A coleta de dados on-line é insidiosa e contínua. Hoje, mais dados podem ser coletados do que nunca: as pessoas criam tantos dados a cada dois dias quanto o fizeram desde o início dos anos até 2000 . Quando analisados nessa escala, os dados pessoais podem parecer inócuos.

Empresas como Facebook, Google e Amazon pagaram quantias extraordinárias em multas e acertos de reputação para obter acesso a esse tipo de dados valiosos. Os dados coletados pelo Facebook por meio do uso de programas como o Onavo e o Facebook Research (que pagavam a adolescentes e outros pelo acesso quase ilimitado a seus dados ) levaram à descoberta de que o WhatsApp era usado com mais do dobro da frequência do Messenger, dando ao Facebook o ímpeto de comprar WhatsApp em 2014. Isso provou ser extremamente valioso .

Na realidade, a proteção de dados não é algo que os consumidores possam confiar em todas as empresas. Em vez disso, a proteção de dados requer uma abordagem proativa. Este artigo tem como objetivo ajudá-lo a proteger seus dados, informando como seus dados são vulneráveis. Terminamos com algumas dicas sobre o que você pode fazer para ajudar a manter seus dados seguros.

Cuidado com padrões escuros

Muitos usuários do Onavo provavelmente desconheciam que muitos de seus dados poderiam ser acessados e que esses dados seriam usados pelo Facebook . O Onavo exigia permissões de root para os telefones dos usuários e acesso VPN aos computadores, permitindo ao Facebook o acesso íntimo aos dados do usuário. Mensagens privadas em aplicativos de mídia social; bate-papos de aplicativos de mensagens instantâneas (incluindo fotos e vídeos enviados nesses bate-papos); e-mails; histórico de navegação na internet; e informações de localização eram acessíveis ao Facebook usando o Onavo.

Obviamente, para que aplicativos e sites tenham acesso legal a esses dados, eles primeiro precisam obter permissão do usuário. Se as empresas pedissem essa permissão de maneira aberta e explícita, os usuários provavelmente negariam essas solicitações. Como resultado, muitas empresas utilizam labirintos complexos de "padrões escuros" para obter astuta e legalmente o acesso aos dados do usuário.

Padrões escuros são usados porque eles obtêm resultados. É mais provável que os usuários concedam permissões às empresas se um ou mais dos seguintes itens for verdadeiro:

uma. O usuário sente que não há outra alternativa ou que conceder permissão é o caminho mais rápido e fácil.

As empresas geralmente tornam difícil para o usuário evitar a concessão de acesso, tornando as etapas para negar acesso durante a inscrição imprecisas e complicadas. Esse método de obter permissões pode ser visto no infame caminho complicado que o LinkedIn exige que os usuários sigam para negar à empresa o acesso à sua lista de contatos.

Remover o acesso que já foi concedido é geralmente mais complicado do que conceder acesso em primeiro lugar. As configurações de permissões de rastreamento de dados ou cookies geralmente não estão localizadas nas áreas que você pode esperar (como a seção "Privacidade"). Palavras enganosas ou ações incomuns também podem ser usadas para causar confusão. Por exemplo, os usuários podem ser solicitados a marcar uma caixa para "desativar" o fornecimento de permissões.

Send me details or do not send me details?
Envie-me detalhes ou não me envie detalhes?

b. O usuário não está ciente de que está concedendo acesso

A concessão de permissões geralmente é atribuída a outra etapa mais evidente, como a criação de uma senha. O emprego desse método pode reduzir a probabilidade de os usuários identificarem que concordaram com determinadas permissões de dados. O uso de letras pequenas também aumenta a probabilidade de tais acordos serem negligenciados.

Set a password and sign up for offers?
Definir uma senha e se inscrever para ofertas?

c. O usuário se sente pressionado a agir rapidamente

Isso geralmente é alcançado por uma das três táticas de pressão:

  1. Criando uma sensação de escassez. A Booking.com geralmente afirma falsamente ter apenas " 1 quarto restante " para tentar que você reserve sua estadia rapidamente.
  2. Introduzindo a pressão do tempo. Estamos familiarizados com essa tática ao comprar determinados itens, como voos e passagens aéreas: as empresas de reservas colocam um limite de tempo nos itens do seu carrinho. As empresas também podem usar táticas semelhantes para obter permissão dos seus dados.O Facebook parecia usar pontos de notificação vermelhos falsosque apareceu quando os usuários foram solicitados a concordar com novos acordos de privacidade, talvez para tentar que o usuário concordasse às pressas para ler suas mensagens.
  3. Recorrer a táticas assustadoras. Aqui estãoos termos que o Facebook usouao solicitar acesso aos dados de reconhecimento de rosto: "Se você mantiver o reconhecimento facial desativado, não poderemos usar essa tecnologia se um estranho usar sua foto para se passar por você.Infelizmente, as táticas de intimidação são onipresentes na coleta de dados, pois a distinção entre os que acessam os dados para protegê-los e os que pretendem absorvê-los são borrados.

Perversamente, três das 10 Heurísticas de Usabilidade de Jakob Nielson, criadas para promover a compreensão do usuário dos sistemas on-line, são frequentemente subvertidas por padrões escuros projetados para promover decisões confusas e precipitadas, e isso, juntamente com cores e layouts orientadores que sugerem os itens corretos para clicar (destacado seções, botões verdes), tornam mais provável que os usuários sigam um caminho predeterminado estabelecido por aqueles que desejam acessar dados pessoais.

Mesmo quando as leis são indiscutivelmente violadas, a punição geralmente não é significativa o suficiente para agir como um impedimento sério. As grandes empresas de tecnologia que violam as leis geralmente são punidas com multas, como os US $ 170 milhões que o Google pagou no final de 2019, depois que o YouTube violou a Lei de Proteção à Privacidade Infantil Online (COPPA) de 1998. Embora essa seja, sem dúvida, uma quantia grande, mal arranha a superfície dos lucros da empresa , questionando a eficácia de tais penalidades para as colossais empresas de tecnologia.

Criptografia não é infalível

Se você usa um iPhone - e não brinca com suas configurações - muitos dos seus dados já estão criptografados. Ótimo! Criptografia significa inalcançável, certo? Bem, mais ou menos. Os computadores teoricamente poderosos no futuro poderão descriptografar dados criptografados, embora isso provavelmente esteja a centenas de anos (e eles precisariam ter acesso aos dados criptografados).

Só porque seus dados são criptografados não significa que são sempre seguros. Considere, por exemplo, abordagens diferentes para criptografia. A criptografia de ponta a ponta é o padrão-ouro, pois significa que os dados são criptografados nas duas extremidades da comunicação e também em trânsito. No entanto, muitos serviços criptografam dados apenas em algumas situações, e não necessariamente enquanto estão no final da empresa ou "em repouso" no seu dispositivo.

De fato, muitos dados pessoais não são totalmente criptografados o tempo todo. Seu navegador pode indicar que a conexão com um site ou serviço é segura, mas isso não significa que o serviço subjacente seja seguro. O Gmail e o Evernote são exemplos de produtos que usam criptografia, mas não são criptografados de ponta a ponta, e foi isso que permitiu a um Googler ler mensagens de usuário . (Vale a pena notar que o Google colocou muitas salvaguardas em vigor desde então, mas a prática ainda ocorre .)

Em alguns casos, as empresas podem transmitir dados que você acredita estar totalmente criptografados para outras empresas. Se você usa um aplicativo de email de terceiros, eles também podem ter acesso aos seus dados. O Google permite que aplicativos de terceiros acessem seus dados de e-mail , o que significa que qualquer aplicativo de terceiros com acesso total a seus dados também pode ler legalmente seus e-mails, sem solicitar especificamente o acesso de você .

As gravações de alto-falantes inteligentes - como o Alexa da Amazon - são criptografadas durante o transporte , mas não são efetivamente criptografadas quando atingem a nuvem da Amazon, permitindo que um cliente receba 1.700 arquivos de áudio obtidos do Alexa de outro usuário .

Protegendo as chaves de criptografia

É possível criptografar dados de uma maneira que a torne totalmente segura. Se uma empresa armazenar dados criptografados com uma chave à qual somente o usuário final tem acesso, a empresa e qualquer outra pessoa que não possua a chave não terão como descriptografar os dados. Se não houver maneira de acessar esses dados, todas as coisas que exigiriam salvaguardas desaparecerão: a empresa não pode ser comprada e mudar sua política, não pode escorregar e vazar dados e não pode compartilhar dados .

Os backups do iCloud de iPhones e iPads - amplamente considerados como bem protegidos - não são completamente inacessíveis para os outros, pois a Apple mantém uma chave para descriptografá-los. Esta foi uma decisão consciente tomada pela Apple, provavelmente feita para impedir que os clientes fossem permanentemente bloqueados de seus dados ( exploramos essas compensações aqui ) ou obtidos como resultado da pressão do FBI .

Embora os backups do iCloud sejam vulneráveis, outros dados confidenciais, como Saúde, chaves e senhas do iCloud, são totalmente criptografados de ponta a ponta com uma chave que a Apple não contém, portanto, essas informações não podem ser acessadas remotamente. Embora isso não se aplique a todas as lojas de dados da Apple, a segurança de ponta a ponta sem o armazenamento central de chaves é um dos pontos de venda exclusivos da Apple .

A Apple fornece uma estrutura chamada “CloudKit” para desenvolvedores de aplicativos, e os dados armazenados no CloudKit são criptografados de ponta a ponta. Um exemplo de um desenvolvedor que faz uso disso é o Bear , um aplicativo para anotações. Como o Bear usa a tecnologia da Apple para armazenamento de dados, nem os próprios programadores do Bear podem acessar seus dados , nem a Apple. Somente o proprietário dos dados pode.

Construir sistemas como esse requer cautela e é fácil para erros inócuos minar a eficácia da criptografia. O serviço “Mensagens no iCloud” da Apple sofre com isso: a Apple não mantém explicitamente a chave desses dados, mas uma cópia da chave pode ser incluída no backup do iCloud do usuário, e a Apple mantém as chaves deles. Assim, um serviço pode fornecer a chave para desbloquear outro.

Nem todos os aplicativos no Google Play são seguros

Os aplicativos disponíveis na App Store da Apple tendem a ser seguros, pois a Apple os analisa minuciosamente antes de serem autorizados para download. Isso costuma ser visto como um impedimento para os desenvolvedores de aplicativos, pois o acesso a um aplicativo na App Store pode ser significativamente mais demorado e caro do que o uso no Google Play . A razão para isso é que o Google Play tem um processo de revisão de aplicativos muito menos rigoroso. Isso pode ser bom para os desenvolvedores, mas é ruim para os consumidores, pois aumenta a probabilidade de que aplicativos inseguros - e até maliciosos - cheguem à Google Play Store. Quando a escala de mineração de dados do Facebook Research e do Onavo veio à tona, a Apple imediatamente retirou o aplicativo de sua App Store, enquanto o Onavo continuava disponível no Google Play semanas depois, até que acabou sendo removido pelo Facebook.

Em abril de 2018, um relatório da Sophos Labs analisou 200 aplicativos no Google Play e concluiu que mais de 50% de todos os aplicativos antivírus gratuitos disponíveis no serviço poderiam ser classificados como "rogueware". O relatório observou que alguns aplicativos foram baixados de 300 a 400 milhões de vezes e alertou os usuários do Android contra o download de aplicativos antivírus gratuitos da loja Google Play.

Embora o objetivo principal da maioria desses aplicativos maliciosos fosse levar os usuários a acreditar que eles tinham vírus que exigiriam pagamento para remover (alguns aplicativos pareciam baixar um vírus, validando sua reivindicação), muitos também solicitavam acesso a vários dados confidenciais permissões. As permissões solicitadas por esses aplicativos costumavam estar além do escopo de funções que um aplicativo antivírus típico precisaria , como acesso ao local, acesso à câmera e acesso ao telefone do usuário sem o conhecimento deles.

Desde que o relatório da Sophos Labs foi publicado, o Google se esforçou para garantir sua loja de aplicativos. Em novembro de 2019, a empresa reuniu a App Defense Alliance com três empresas de antivírus - ESET, Lookout e Zimperium - em um esforço para eliminar a presença de aplicativos maliciosos da loja Google Play. No entanto, não está claro que a App Defense Alliance também se preocupe com a proteção dos dados do usuário.

O software antivírus nem sempre oferece proteção

O uso de software antivírus de terceiros diminuiu na última década devido a três fatores:

  1. Os usuários estão cada vez mais armazenando seus dados na nuvem, geralmente em um estado criptografado, em vez de localmente em computadores que poderiam se beneficiar do software antivírus.
  2. Proporcionalmente mais dados estão em smartphones, que tendem a ter controles e regulamentos internos mais rígidos em torno da segurança do que computadores.
  3. Os sistemas operacionais modernos incluem proteção antivírus como padrão (como o Gatekeeper da Mac ou o Defender da Microsoft).

O declínio do uso de software antivírus de terceiros deixou essas empresas em uma situação complicada, levando a fusões de antivírus e esforços para se envolver em outras esferas, a fim de permanecer à tona . Como o software antivírus geralmente recebe amplo acesso aos dados armazenados nos computadores (uma etapa necessária para identificar o malware armazenado em qualquer lugar do computador), essas empresas recebem acesso a muitos dados confidenciais. O software antivírus tem sido usado com sucesso como uma ferramenta de espionagem por causa de seu acesso considerável aos dados.

Quase todas as empresas de antivírus anunciadas hoje são baseadas em países com leis de proteção de dados fracas, ou usando empresas de fachada para parecer diferente. Não na Europa ou nos EUA? Nenhuma Lei de Proteção de Dados (britânica), GDPR (Europa) e SafeHarbor (EUA). Isso facilita para essas empresas encontrar métodos adicionais de captura de valor dos dados do usuário.

A localização dessas empresas beneficia sua transição para oferecer VPNs juntamente com seu software antivírus típico. As VPNs canalizam todos os dados de um usuário por terceiros. Isso pode ser sensato, pois transfere o tráfego da Internet de um usuário para um caminho que pode evitar algumas autoridades, mas coloca esses dados nas mãos de empresas privadas desconhecidas. Um grande número de VPNs populares é baseado na China ou possui propriedade chinesa, o que, considerando que as VPNs são oficialmente proibidas na China , pode indicar que há boas perguntas a serem feitas sobre a segurança desses dados.

As VPNs são agressivas em publicidade e marketing, usando cada vez mais os YouTubers para publicidade paga, e o Google está se afogando em sites que ganham taxas de afiliados por promover VPNs, na medida em que é quase impossível encontrar críticas ou editoriais autênticos. Parece improvável que isso mude. Se você fosse um novo participante e desejasse criar um excelente produto e operá-lo de forma ética, não entraria em concorrência contra empresas desesperadas de AV offshore! É irônico que a maioria das empresas deixadas no que deveria ser um mercado de alta confiança seja altamente suspeita.

Com esses pensamentos em mente, existem alguns princípios e etapas a serem seguidos para proteger os dados, e eles estão descritos na seção abaixo.

Como proteger seus dados

Aqui está uma breve lista de etapas que você pode implementar para proteger seus dados. Se você é um usuário do iPhone, confira nosso mergulho profundo na proteção da sua conta do iPhone, fotos e iCloud .

  1. Se você precisar usar o Android, use um telefone fabricado pelo Google (como o Pixel), pois o Google é o único fornecedor que fornece com confiabilidade atualizações regulares de software e segurança. Cuidado com o risco envolvido no download de aplicativos do Google Play. Se isso parecer restritivo ou oneroso, considere mudar para um iPhone.
  2. Cuidado ao baixar aplicativos ou se inscrever nos serviços. Cuidado com padrões escuros e serviços executados por empresas anônimas ou fora de territórios com fortes leis de proteção de dados (Europa, EUA, Canadá).
  3. Não confie em serviços baseados em anúncios como o Facebook - na pior das hipóteses, não entre no Facebook nem instale o aplicativo - ou produtos como o Google Wi-Fi, quecoletar dados remotamente. Firewalls poderosos comoLittle Snitch(macOS) ouGuardian Firewall(iOS, "Para nós, dados são um passivo, não um ativo”) Pode bloquear ou destacar a coleta de dados invasiva.
  4. Ao encontrar aplicativos ou software, não confie em revisões diferentes das encontradas na App Store ou em fontes confiáveis de revisão de terceiros. É fácil falsificar avaliações em um site, criar pequenos sites de avaliações independentes falsas emostrar classificações de estrelas nos resultados da Pesquisa Google. Sites de avaliação ainda maiores, como o Trustpilotpode ser manipulado, mas ainda é provavelmente a melhor fonte de comentários.
  5. Esteja ciente da sua webcam e microfone: os aplicativos que os utilizam não necessariamente deixam claro. AtéMark Zuckerberg mantém seu bloqueioquando ele não está usando. Considere umescudo da webcamebloco de microfoneo que pode impedir que seu computador possa gravá-lo.
  6. Usarautenticação de dois fatores(2FA), mas não o use por SMS. É relativamente fácil realizar o que é conhecido como "SIM-jacking”Para obter acesso às mensagens SMS de outra pessoa. CEO do Twitter eraatacado com sucessodesta forma em 2019.
  7. Faça backups regulares do seu iPhone ou iPad usando o iTunes ou o iPhone Backup Extractor (ambos gratuitos para esta funcionalidade), em vez de usar o iCloud, pois o iCloud não é criptografado de ponta a ponta e possui um limite de armazenamento gratuito de 5 GB.
  8. Use criptografia de disco completo (FDE). Os dispositivos iOS e Android modernos têm isso ativado por padrão, mas seu PC ou Mac não. No Mac, isso é chamadoFileVault, e no Windows é chamadoBitLocker. Sem o FDE, seria fácil para qualquer um simplesmente remover o disco rígido do seu computador para ver seus dados, ignorando a senha usada para proteger sua conta.
  9. Não adie atualizações de software. Embora possa ser frustrante quando parece que seu computador, telefone ou navegador deseja atualizar e reiniciar com frequência, essas atualizações geralmente contêm atualizações de segurança vitais.
  10. Os aplicativos de gerenciamento de senha podem ser inestimáveis para ajudar os usuários a definir e lembrar senhas distintas e seguras para os aplicativos e serviços que eles usam. Bons gerenciadores de senhas também podem detectar senhas duplicadas ou fracas e verificar o seu em bancos de dados de senhas vazadas, comoFui sacaneado.1PasswordeÚltima passagemtrabalhe bem.

Podemos melhorar este artigo?

Adoramos ouvir os usuários: por que não nos enviar um e-mail, deixar um comentário ou twittar? @reincubate?

© 2008 - 2020 Reincubate Ltd. Todos os direitos reservados. Registrado na Inglaterra e no País de Gales #5189175, VAT GB151788978. Reincubate e Camo são marcas comerciais. Política de Privacidade & termos. Recomendamos 2FA. Construído com em Londres.