Segurança da Informação Tecnologia

Privacidade e Ingenuidade Andam Juntas?*

Velhos hábitos não morrem facilmente.

WikiLeaks ligou uma “flag” interna, mas suas implicações diretas e indiretas sempre pareceram algo distante da minha realidade.

Já o vazamento promovido por Edward Snowden, iniciado no ano passado, fez-me repensar muita coisa. Para quem quiser saber mais sobre o caso, recomendo o livro do Glenn Greenwald (Sem Lugar Para Se Esconder), disponível no Brasil, também em formato eletrônico.

Fiz uma análise considerável da minha participação em mídias sociais e na Internet como um todo. Modifiquei minha forma de navegar e acessar a rede, principalmente fora do escritório ou de casa. Minha preocupação com privacidade e segurança, que já era alta, atingiu um novo nível.

Entretanto, dentre tantas mudanças, a que mais me chamou a atenção foi o efeito colateral causado sobre o conteúdo que me é entregue. A Internet, como conhecia, mudou. E isso não é nada bom.

Hoje em dia, a experiência que um usuário tem com a Internet é totalmente determinada pelo histórico de suas ações. Assim como na vida, você atrai o que busca. Isso acontece porque, normalmente, tudo o que você faz é monitorado, identificado, rotulado, classificado e inter-relacionado com milhares de bases de perfis de usuários, para que um conteúdo relevante a você lhe seja apresentado.

Agora, imagine como um serviço: sim, o seu perfil vale ouro e é comercializado.

Quais as suas implicações reais? Até sua TV já faz isso.

Você entra numa rede social e recebe uma quantidade enorme de conteúdo comercial, que foi preparado baseado especialmente nos clicks que você dá, nos comentários que faz, nas fotos que curte e até no que faz fora do site (caso uma página visitada possua, por exemplo, um botão de comentários da rede social).

Esse modelo de negócios não para por aí: ele também inclui a extração do seu perfil a partir de e-mails. Para quem pensa que isso só acontece com usuários de serviços “públicos” ou “free”, entenda que qualquer um que se comunicou por email com um usuário desses serviços também é alvo, apesar de não ter concordado explicitamente.

Tudo gira em torno das Personally Identifiable Information (PII), ou tudo aquilo que pode ser usado para identificar ou localizar uma pessoa em um contexto (e será!).

Ainda, informação que antes não era considerada uma PII, passa a ser, dentro de um contexto (por exemplo, um endereço IP, no dia 02 de agosto às 14:20h -0300GMT). O termo “metadados” também está na moda.

Por que você acha que as empresas de serviços gratuitos, redes sociais e até sites de busca fazem um esforço tão grande para descobrir o seu número de celular? Já percebeu que o método padrão para recuperação de senhas agora é o celular, ou que algumas redes sociais perguntam insistentemente qual o seu número?

Tudo isso faz parte de um programa extenso, profundo e complexo, criado especialmente para associar pedaços de informações online ao seu perfil. Um número de celular, associado a tempo, permite identificar não só você, mas o que você estava fazendo, com quem estava falando (seja por voz ou mensagem) e onde, desde que você tenha acesso aos logs da operadora.

Uma operadora de telefonia e um site de rede social são bem diferentes em vários aspectos. Contudo, a maioria das pessoas não sabe identificar quais. Antes de mais nada, é bom lembrar que ambos são empresas privadas com seus respectivos interesses comerciais.

Enquanto uma operadora precisa de uma ordem judicial para liberar informações sobre os seus acessos, uma rede social, não. Ela só precisa da sua autorização, coisa que você já forneceu ingenuamente, quando aceitou os seus termos de uso.

Para contextualizar melhor as possibilidades, aí vão alguns exemplos adicionais:

  • Browsers que salvam e sincronizam suas senhas, para que você não tenha o “trabalho” de lembrá-las;
  • Ainda, que guardam seus bookmarks na nuvem;
  • Serviços de “proteção” ao usuário, que “checam” todas as URLs que você digita para “se certificar” de que você não visitará um site com conteúdo malicioso;
  • Qualquer serviço integrado ao seu browser (barra de pesquisa, por exemplo), que tem permissão para ler todas as URLs visitadas por você, para fornecer algum serviço, como siterank, pagerank (ex. StumbleUpon), etc;
  • Softwares que usam seu cadastro do google, facebook, etc., para lhe fornecer “uma experiência única, customizada e persistente”;
  • Sistemas de busca que mantém o histórico de tudo que você pesquisou, para lhe fornecer “uma experiência web incomparável”, através do “aperfeiçoamento de seus serviços”;
  • Sites de distribuição de conteúdo (áudio, vídeo) que só permitem comentários se você efetuar logon com uma conta de rede social;
  • Mensagens trocadas dentro das redes sociais são analisadas por conteúdo que pode ser usado comercialmente;
  • Participamos de redes sociais compartilhando opiniões, fotos e não entendemos que, ao aceitar os termos de uso, cedemos o direito de uso das imagens e textos postados;

Soa familiar?

Usando buzzwords… Big brother meets big-data, in the cloud.

A situação se torna ainda mais crítica se adicionarmos à equação os dispositivos móveis. Neles, autorizamos aplicações a acessar informações pessoais em vários níveis, sem nenhuma análise ou critério mais profundo. Aplicações rotineiramente copiam nossa lista de contatos, agenda e até ligações por padrão, e não parecemos nos importar muito com isso (no entanto, clicamos no botão “accept”).

…e de quem é a responsabilidade?

Em um primeiro momento, pode parecer que o usuário final é totalmente (e unicamente) culpado e responsável, afinal, na maioria das vezes “aceitou” os termos de uso de uma aplicação ou site (azar o dele se não leu os termos).

O usuário final tem a sua parcela de responsabilidade, mas ele está sendo enganado e manipulado.

Da mesma forma que há quinze anos se usava a obscuridade e a falta de informaçãopara fornecer a ilusão de segurança, empresas e órgãos governamentais estão usando a falta de clareza e a mesma obscuridade para fornecer a ilusão da privacidade.

Já perceberam como o velho ditado “quem não deve, não teme” está sendo rotineiramente deturpado? A versão mais atual parece ser algo como “se você não fez nada de errado, não precisa esconder nada”.

Quem vai determinar o que é certo ou errado?

  • O governo?
  • O mesmo estado que você condena nas redes sociais, promovendo candidatos de oposição nas próximas eleições?
  • O estado que mata milhões em guerras em outros países?
  • O estado que defende interesses comerciais e sofre com corrupção?
  • Empresas e seus interesses?

Antes de condenarem o uso dos termos acima, entendam que “Estado” ou “Empresa” não são o real sujeito das dúvidas. O Estado, as empresas, corporações, associações públicas ou privadas, a sociedade em si, antes de mais nada, são todos feitos de pessoas. As pessoas falham, têm seus próprios interesses e isso faz com o que o conceito de certo ou errado mude com o tempo.

Pode parecer clichê, mas George Orwell errou apenas em duas décadas, quando escreveu 1984. Não estamos caminhando para a distopia, já vivemos nela.

A própria natureza da democracia repousa no direito à privacidade, no direito de discordar. Pensem em quantas pessoas ou grupos são considerados “errados” por desafiarem o status quo e, consequentemente, perderem a privacidade. Pense em como é difícil lutar por mudanças quando se está no lado “errado” da mesa e sem privacidade. Inúmeros estudos comprovam que o comportamento de um indivíduo muda quando sabe que não tem privacidade.

E o que isso tudo tem a ver com o conteúdo web ser ajustado aos nossos perfis?

Tudo.

O direito à privacidade custa caro. No entanto, damos de graça a qualquer entidade, em busca de um serviço gratuito, de uma suposta vantagem, promoção ou algo que está nos sendo proposto como uma barganha. Abrimos mão da nossa privacidade sem nem perceber. Enquanto isso nos é favorável, dificilmente incomodará, mas pode ser usado contra nós por instituições que nós mesmos não consideramos confiáveis em outros cenários.

Da mesma forma que a sociedade é um reflexo de quem somos, a mudança não ocorrerá hoje, nem amanhã. Levará tempo. Ela precisa começar por mim, por você, ao reconhecer do que estamos abrindo mão e as suas implicações de longo prazo. Precisamos agir. São pequenas ações que, com o tempo, certamente surtirão efeito.

Para isso, precisamos ficar atentos quando estamos deixando de lado a nossa privacidade em troca de algo. Precisamos usar o bom senso quando um joguinho que acabamos de baixar para o celular pede permissões para acessar a agenda, os contatos, a lista de ligações e coisas do gênero, ou quando aceitamos os termos de uso de uma nova rede social que, como condição, força o usuário a ceder os direitos para qualquer conteúdo colocado na rede.

Precisamos aprender a dizer não, exigir transparência, avaliar melhor nossas escolhas e considerar opções.

*As opiniões expressas neste artigo são tão e somente as opiniões do autor e não expressam, direta ou indiretamente, as opiniões do seu empregador.