Rio de Janeiro - Brasil

quarta-feira, 10 de agosto de 2016

The Intercept Brasil: CEO de Pokémon Go já era mestre em capturar seus dados muito antes do jogo



Apenas duas semanas depois de seu lançamento, Pokémon Go, o jogo de realidade aumentada que virou sensação pelo mundo, ultrapassou Twitter, Facebook e Netflix em usuários ativos diários em dispositivos Android, de acordo com uma estimativa. Nos dispositivos da Apple, há mais downloads do jogo do que qualquer outro aplicativo na semana de estreia na App Store.

A adoção meteórica e em larga escala do Pokémon Go se deve ao uso agressivo de informações pessoais de usuários. Ao contrário de Twitter, Facebook e Netflix, o aplicativo requer acesso ininterrupto a sua localização e câmera (um verdadeiro estoque de dados sigilosos de usuários), conforme colocou um órgão fiscalizador de privacidade em carta aos órgãos federais.

Mais alarmante ainda é o fato de que o Pokémon Go, da Niantic Labs, é gerenciado pelo homem responsável pela equipe que dirigiu, literalmente, o maior escândalo de privacidade na Internet, em que os carros do Google, no percurso realizado para fotografar ruas para o recurso “Street View” dos mapas online da empresa, copiou secretamente os tráficos de internet de redes domésticas, coletando senhas, mensagens de e-mail, prontuários médicos, informações financeiras, além de arquivos de áudio e vídeo.

Antes de se tornar CEO da Niantic Labs, John Hanke era o homem por trás de uma mina de ouro incrivelmente popular no mundo do smartphones: a divisão geográfica do Google, responsável por quase tudo o que envolvia localização, em uma época que a empresa de busca estava crescendo e se expandindo muito além da simples indexação da web, rumo à catalogação de todos os quarteirões do planeta. Hanke chegou ao Google após deixar sua empresa, Keyhole, extremamente popular (e admissivelmente, muito interessante).  Financiada pela CIA, coletava imagens geográficas, foi adquirida em 2004 e relançada em 2005, com o nome de Google Earth. Em 2007, Hanke já administrava praticamente tudo o que envolvia um mapa no Google. Em 2007, um perfil na Wired (“Google Maps Is Changing the Way We See the World” – Google está mudando a forma como enxergamos o mundo) contou que Hanke foi elevado ao status de pioneiro (“Liderados por John Hanke, Google Earth e Google Maps estão levando ferramentas de cartografia às massas”) e endeusado, exibindo uma foto com um enorme globo sobre seus ombros.

Foi uma época sensacional para o Google. O Google Maps se tornou indispensável, fazendo com que outros recursos, como o MapQuest, ficassem obsoletos, e o Google tinha grandes ambições para transformar as ruas em receita. Mas antes do Google vender o mundo de volta para seus habitantes, era preciso digitalizá-lo; por todo o planeta, frotas de carros do Google equipados com sensores passearam por cidades, ruelas e autoestradas, fotografando edifícios, postes, árvores e outras características. Todos os veículos tinham adesivos “Street View Car”, do Google – uma referência ao recurso “Street View” do Google Maps, que recebia as fotos tiradas. O Google compartilhou as fotografias do Street View extensamente através de uma interface de programação de aplicativos, ou API. Dentre os aplicativos que deve muito aos carros do Street View, está o Pokémon Go.

Porém, em abril de 2010, o comissário de proteção de dados da Alemanha anunciou que os veículos do Google coletavam dados de Wi-Fi de forma ilegal. Investigações regulatórias subsequentes e notícias confirmando a violação trouxeram a verdade à tona: Enquanto circulavam pelas ruas, os carros do Street View coletavam dados de redes Wi-Fi não criptografadas. Peter Schaar, do Órgão Fiscalizador de Privacidade alemão, se disse “horrorizado” e “chocado”.

Finalmente, foi estabelecido que esse tipo de coleta de dados foi praticado por pelo menos dois anos nos Estados Unidos. O escândalo, à época chamado de caso “Wi-Spy” (espião de Wi-Fi), resultou em conclusões das respectivas autoridades competentes que a coleta de dados de Wi-Fi era ilegal em diversos países: Reino Unido, França, Canadá, Coreia do Sul e Nova Zelândia uma investigação de grampo pelo Departamento de Justiça dos Estados Unidos; uma contundente investigação da Comissão Federal de Comunicações dos EUA (FCC – Federal Communications Commission), que se seguiu a um comentário de um de seus diretores, alegando que a atividade do Google “infringia na privacidade de clientes claramente”, e que resultou em uma multa de US$ 25.000;

Quando deixou o Google, a Niantic levou a patente de Milner/Hanke consigo. A patente descreve extensamente como um jogo como Pokémon Go poderia ser usado para coletar dados reais de um jogador sem que ele saiba:

“O objetivo do jogo pode ser vinculado diretamente à atividade de coleta de dados. Um dos objetivos do jogo que pode ser vinculado diretamente à atividade de coleta de dados envolve uma tarefa que requer a obtenção de informações sobre o mundo real e o fornecimento das mesmas como condição para a conclusão do objetivo do jogo”.

A patente também menciona, para fins ilustrativos, um artigo acadêmico do The International Journal of Virtual Reality (Jornal Internacional de Realidade Virtual), “Aquisição lúdica de dados geoespaciais por comunidades de jogos com base em localização”, de Sebastian Matyas, que inclui o seguinte parágrafo em sua introdução:

“Em nossa opinião, o verdadeiro desafio está em motivar o usuário a fornecer dados constantemente, mesmo após o desgaste do entusiasmo inicial com a tecnologia inovadora. O processo de aquisição de dados deve ser divertido para que um possível contribuidor se envolva a longo prazo. Estamos convencidos de que o entretenimento e a diversão são aspectos fundamentais no design de serviços de coleta de dados como esse”.

Ao ser questionado sobre haver trabalhado na equipe do Street View de Hanke, conforme mencionado no relatório da FCC, Milner disse que não poderia responder.
Hanke, através de um porta-voz, se distanciou da controvérsia de forma mais explícita. Um representante da Niantic, falando em seu nome, disse que “ele não era o responsável pelo que aconteceu” e que não tinha conhecimento prévio das escutas sem fio, que, de acordo com o porta-voz, foi de responsabilidade absoluta da divisão móvel do Google, mesmo que a operação tenha sido conduzida por meio dos carros Street View em nome da divisão de Hanke.

O relatório da FCC sobre o escândalo Wi-Spy é diretamente voltado para a equipe do Street View de Hanke e não menciona a equipe móvel. Além disso, o relatório oferece uma possível explicação sobre como foi possível Hanke alegar não ter conhecimento da espionagem: apesar das tentativas verbais e por escrito de Milner (ou “Engenheiro Fulano”) de manter informados os gerentes do Street View sobre a coleta de dados sem fio, ele foi simplesmente ignorado com frequência. A FCC contou que “em entrevistas e declarações, gerentes do projeto Street View e outros funcionários do Google que trabalharam no projeto disseram ao gabinete que não leram o documento de design do Engenheiro Fulano”, ainda que ele tenha sido enviado para toda equipe do Street View.

A confusão a respeito da responsabilidade pelas ações de Milner podem vir do fato de que o engenheiro trabalhava no YouTube (do Google) na época, que não faz parte da divisão geográfica de Hanke, nem da equipe móvel, e criou o coletor de sinais de Wi-Fi como um projeto paralelo sob a política de 20% de tempo livre para funcionários do Google. Embora tenha dito que a coleta sem fio foi iniciada por “nossa equipe móvel”, a empresa deixou claro, na mesma postagem, que a equipe móvel era responsável pelas ações de Milner, visto que os “gerentes do projeto não queriam e não tinham intenção de usar os dados de conteúdo” coletados.

Enquanto isso, os dados coletados pelo software de Milner, contendo nomes e localização de pontos de acesso sem fio, foram implementados nos carros do Street View (operando em nome da divisão de Hanke) e foram usados para ajudar pedestres e motoristas a se localizar na versão para dispositivos móveis do Google Maps (parte da divisão de Hanke) e no sistema operacional móvel do Google, Android (uma divisão diferente). Em uma postagem no “Blog oficial” da empresa sobre a questão, o Google mencionou ambas as equipes – Google Maps (novamente, parte da divisão de Hanke) e a equipe móvel (que não fazia parte da divisão de Hanke), como beneficiários dos dados de Milner (que não trabalhava para nenhuma das duas).
Evidentemente, nenhum funcionário do Google está disposto a reivindicar a responsabilidade pelo Wi-Spy, incluindo Hanke.

Agora, levando em consideração a disseminação do Pokémon Go e a confidencialidade dos dados que acessa, o fato de Hanke culpar a equipe móvel pelo escândalo do Wi-Spy é menos importante do que o fato de sua divisão, propositadamente ou não, ter se tornado o veículo – ou, literalmente, os veículos – usado por um engenheiro para coletar enormes quantidades de dados extremamente confidenciais, enquanto gerentes e engenheiros da divisão de Hanke ignoraram inúmeras vezes os alertas explícitos, verbais e por escrito, sobre o que se passava com esse engenheiro, de acordo com a mais completa investigação sobre o assunto publicada por uma entidade do Governo dos EUA.

O Centro de Privacidade de Informações Eletrônicas, entidade fiscalizadora de assuntos de privacidade, já está pressionando a Niantic e seu CEO.

Em uma carta enviada à Comissão Federal de Comércio dos EUA (FTC –Federal Trade Commission) neste mês, o Centro de Informação sobre a Privacidade Eletrônica (EPIC – Electronic Privacy Information Center) defendeu que o “histórico sugere que a Niantic continuará a desrespeitar a segurança e a privacidade de consumidores, o que aumenta a necessidade de acompanhamento rigoroso à medida que continua a crescer a popularidade da Niantic, assim como seu estoque de dados”, e acrescentou que “dados os antecedentes do Google Street View, há poucos motivos para acreditar nas garantias oferecidas em relação às práticas de coleta de dados da Niantic”.

Por telefone, um porta-voz do EPIC enfatizou que o escândalo do Street View deve fazer os jogadores do Pokémon Go “pensarem duas vezes se devem acreditar na palavra deles” e que a FTC deve prestar mais atenção a isso e se certificar de que as práticas de coleta de dados [da Niantic] são honestas”.

É muito importante se certificar de que as práticas de coleta da Niantic são “honestas” por que já sabemos que são vastas. A política de privacidade oficial do Pokémon Go deixa isso claro:
“Coletamos e armazenamos informações sobre sua localização (ou a localização de crianças autorizadas) quando você (ou uma criança por você autorizada) usa nosso aplicativo e executa ações no jogo que usam os serviços de localização disponibilizados por meio do sistema operacional de seu dispositivo móvel (ou do dispositivo móvel de uma criança por você autorizada), que usa a triangulação de torres de sinais de celular, triangulação de Wi-Fi e/ou GPS. Compreende e aceita que, ao utilizar nosso aplicativo, você (ou criança por você autorizada) nos enviará a localização de seu dispositivo móvel, e algumas dessas informações de localização, assim como o seu nome do usuário (ou nome de usuário de criança por você autorizada) podem ser compartilhados por meio do aplicativo…

“Coletamos determinadas informações que seu dispositivo móvel (ou o de uma criança por você autorizada) envia quando você (ou criança por você autorizada) usa nossos Serviços, como um identificador, as configurações de usuário e o sistema operacional de seu dispositivo (ou do dispositivo de criança por você autorizada), bem como informações sobre o uso de nossos Serviços ao utilizar o dispositivo móvel.”

Uma vez coletadas, a Niantic se reserva o direito de compartilhar algumas das informações que coleta, no que alega ser de forma “não identificadora”, com terceiros “para pesquisas e análises, perfis demográficos e outras finalidades”. Isto seria uma grande quantidade de informações confidenciais a serem transmitidas em confiança, mesmo para um CEO com um bom histórico de respeito à privacidade de estranhos. E, como era de se esperar, na primeira semana de lançamento do Pokémon Go, a Niantic causou um breve pânico em torno da privacidade de usuários ao ser descoberto que o aplicativo solicitava um acesso muito mais aprofundado do que o necessário a usuários de contas do Google. A empresa respondeu quase que imediatamente:

“Descobrimos recentemente que o processo de criação de conta do Pokémon Go no iOS solicita, por engano, acesso total à conta de usuários do Google. (…) O Google verificou que nenhuma outra informação foi recebida ou acessada pelo Pokémon Go ou pela Niantic”.
Faltava apenas um “engenheiro não autorizado” na história.

0 comentários:

Postar um comentário