Como as empresas obtêm seus dados – e o que podem fazer com eles


Está curioso para saber que tipo de dados pessoais e até privados você pode estar expondo ao longo de um dia normal na Internet? Que tal usar “todos os tipos” como ponto de partida?

Aqui, adaptado do meu novo livro, Acompanhando: antecedentes para todas as grandes tendências de tecnologia que você não pode ignorar, é uma maneira de dividir o escopo e a natureza do problema por plataforma.

XBOX em Oferta

Transações financeiras

Reserve um momento para visualizar o que está envolvido em uma simples compra online com cartão de crédito. Você provavelmente entrou no site do comerciante usando seu endereço de e-mail como um identificador de conta e uma (espero) senha exclusiva. Depois de navegar por algumas páginas, você adicionará um ou mais itens ao carrinho de compras virtual do site.

Quando tiver tudo de que precisa, você começará o processo de finalização da compra, inserindo as informações de envio, incluindo um endereço e seu número de telefone. Você também pode inserir o número da conta do cartão de fidelidade que o comerciante lhe enviou e um código de cupom que você recebeu em uma mensagem de marketing por e-mail.

Claro, a etapa principal envolve inserir suas informações de pagamento. Para um cartão de crédito, isso provavelmente incluirá o nome e endereço do proprietário do cartão, o número do cartão, a data de validade e um código de segurança.

Supondo que a infraestrutura do comerciante seja compatível com os protocolos PCI-DSS (Payment Card Industry Data Security Standard) para lidar com informações financeiras, é relativamente improvável que essas informações sejam roubadas e vendidas por criminosos. Mas de qualquer maneira, ele ainda existirá no próprio banco de dados do comerciante.

Para aprofundar tudo isso, entenda que usar a conta do cartão de fidelidade e o código do cupom pode comunicar muitas informações sobre suas preferências de compras e estilo de vida. Sem mencionar os registros de algumas de suas atividades anteriores. E sua conta do site vem com informações de contato e a localização de sua casa.

Todas essas informações podem, pelo menos em teoria, ser costuradas para criar um perfil robusto de você como consumidor e cidadão.

‌‌ É por esses motivos que eu pessoalmente prefiro usar sistemas de pagamento de comércio eletrônico de terceiros, como o PayPal, porque tais transações não deixam nenhum registro do meu método de pagamento específico nos bancos de dados do próprio comerciante.

Dispositivos

Os sistemas operacionais modernos são construídos do zero para se conectar à Internet de várias maneiras. Freqüentemente, eles consultam automaticamente os repositórios de software on-line em busca de patches e atualizações e “pedem” ajuda remota quando algo dá errado.

Alguns dados de diagnóstico de desempenho são enviados e armazenados online, onde podem contribuir para análises estatísticas ou diagnósticos de bugs e correções. Pacotes de software individuais podem se conectar a servidores remotos independentemente do sistema operacional para realizar suas próprias tarefas.

Tudo bem. Exceto que você pode ter dificuldade em ter certeza se todos os dados indo e vindo entre o seu dispositivo e a Internet são coisas que você está bem compartilhando.

Você pode saber que arquivos privados e informações pessoais não estão sendo incluídos com todos os outros dados? E você tem certeza de que nenhum de seus dados jamais encontrará acidentalmente seu caminho em algum aplicativo inesperado que está além do seu controle?

Para ilustrar o problema, eu recomendaria a você dispositivos movidos por assistentes digitais como Alexa da Amazon e o Google Assistant (“OK Google”). Como, por definição, os microfones usados ​​pelos assistentes digitais estão constantemente ouvindo sua palavra-chave (“Alexa …”), tudo o que alguém disser dentro do alcance do dispositivo é registrado.

Pelo menos algumas dessas conversas também são gravadas e armazenadas online e, ao que parece, algumas delas acabaram sendo ouvidas por seres humanos que trabalham para o fornecedor. Em pelo menos um caso, uma conversa gravada inadvertidamente foi usada para condenar um suspeito de assassinato (não que sejamos contra a condenação de assassinos).

Amazon, Google e outros participantes neste espaço estão cientes do problema e estão tentando resolvê-lo. Mas é improvável que eles o resolvam totalmente. Lembre-se de que conveniência, segurança e privacidade não funcionam bem juntas.

Agora, se você acha que as informações de computadores e tablets que podem ser rastreadas e gravadas são assustadoras, espere até ouvir sobre termostatos e lâmpadas.

À medida que mais e mais eletrodomésticos e ferramentas são adotados como parte dos sistemas de “casa inteligente”, mais e mais fluxos de dados de desempenho serão gerados junto com eles.

E, como já foi demonstrado em vários aplicativos do mundo real, todos esses dados podem ser interpretados programaticamente para revelar informações significativas sobre o que está acontecendo em uma casa e quem está fazendo isso.‌‌

Dispositivos móveis

Você já parou no meio de uma viagem, pegou seu smartphone e verificou um mapa digital para obter direções? Claro que sim.

Bem, o aplicativo de mapa está usando suas informações de localização atual e enviando informações valiosas, mas, ao mesmo tempo, você está enviando informações igualmente valiosas. Que tipo de informação pode ser essa?

Certa vez, li sobre um sujeito travesso na Alemanha que pegou emprestado algumas dezenas de smartphones, carregou-os em uma perua infantil e lentamente puxou a perua no meio de uma rua vazia da cidade. Não demorou muito para que o Google Maps relatasse um sério engarrafamento onde não havia nenhum.

Como o aplicativo do Google Maps sabe mais sobre as condições do tráfego local do que você? Uma classe importante de dados que alimenta seu sistema é obtida por meio do monitoramento constante da localização, velocidade e direção do movimento de cada telefone Android ativo que eles podem alcançar – incluindo seu telefone Android.

Eu, pelo menos, aprecio este serviço e não me importo muito com a forma como meus dados são usados. Mas também estou ciente de que, um dia, esses dados podem ser usados ​​de maneiras que conflitam fortemente com meus interesses. Chame isso de risco calculado.

Claro, não são apenas informações de movimento baseadas em GPS que o Google e a Apple – os criadores dos dois sistemas operacionais móveis mais populares – estão obtendo. Eles, junto com alguns outros participantes da indústria, também estão lidando com os registros de todas as atividades do nosso mecanismo de pesquisa e os dados retornados por aplicativos de exercícios e monitoramento de saúde.

Em outras palavras, caso decidam, muitas empresas de tecnologia poderiam compilar perfis sem esforço descrevendo nossos movimentos, planos e estado de saúde precisos. E, a partir daí, não é um salto enorme imaginar os proprietários desses dados prevendo o que provavelmente faremos nas próximas semanas e meses.

Navegadores da web

A maioria de nós usa navegadores da web para nossas interações diárias com a Internet. E, considerando todas as coisas, os navegadores da web são criações milagrosas. Eles costumam agir como um concierge incrivelmente poderoso, trazendo-nos todas as riquezas da humanidade sem nem mesmo suar.

Mas, como tenho certeza de que você já pode prever, todo esse poder vem com uma compensação.

Para ter apenas uma amostra das informações que seu navegador compartilha livremente sobre você, dê uma olhada na página do Google Analytics mostrada na figura abaixo.

‌‌ Este painel exibe um resumo visual que descreve todas as visitas ao meu site bootstrap-it.com nos sete dias anteriores. Pelos dados que foram coletados, posso ver:

  • De onde no mundo meus visitantes são?
  • Quando durante o dia eles costumam visitar
  • Quanto tempo eles passaram no meu site
  • Quais páginas eles visitam
  • Qual site eles deixaram antes de vir para o meu
  • Quantos visitantes fazem visitas repetidas
  • Quais sistemas operacionais eles estão executando
  • Qual formato de dispositivo eles estão usando (ou seja, desktop, smartphone ou tablet)
  • Os coortes demográficos aos quais pertencem (gêneros, grupos de idade, grupos de renda)

Além de tudo isso, os próprios logs de um servidor web podem relatar informações detalhadas, em particular o endereço IP específico e o tempo preciso associado a cada visitante.

O que isso significa é que, sempre que o seu navegador se conecta ao meu site (ou qualquer outro site), ele está fornecendo ao meu servidor web uma quantidade enorme de informações. O Google apenas coleta e apresenta para mim em um formato sofisticado e fácil de digerir.

A propósito, estou plenamente ciente de que, ao fazer o Google coletar todas essas informações sobre os usuários do meu site, eu sou parte do problema. E, para que conste, eu me sinto um pouco culpado por isso.

Além disso, os servidores web são capazes de “assistir” o que você está fazendo em tempo real e “lembrar” o que você fez na sua última visita.

Para explicar, você já percebeu como em alguns sites, logo antes de clicar para sair da página um “Espere! Antes de você ir!” mensagem aparece? Os servidores podem rastrear os movimentos do mouse e, quando ficam “muito perto” de fechar a guia ou mover para uma guia diferente, eles exibem esse pop-up.

Da mesma forma, muitos sites salvam pequenos pacotes de dados em seu computador chamados “cookies”. Esse cookie pode conter informações de sessão que podem incluir o conteúdo anterior de um carrinho de compras ou até mesmo seu status de autenticação. O objetivo é fornecer uma experiência conveniente e consistente em várias visitas. Mas essas ferramentas podem ser mal utilizadas.

Finalmente, como os sistemas operacionais, os navegadores também se comunicam silenciosamente com o fornecedor que os fornece. Obter feedback de uso pode ajudar os provedores a se manterem atualizados sobre problemas de segurança e desempenho. Mas testes independentes mostraram que, em muitos casos, muito mais dados estão voltando para “casa” do que parece apropriado.

Interação do site

Embora eu trate disso com maior profundidade meu livro “Mantendo o ritmo”, Devo destacar pelo menos algumas questões particularmente relevantes aqui. Como, por exemplo, o fato de que os sites adoram fazer com que você se inscreva em serviços de valor extra.

Os boletins informativos e as atualizações de produtos que eles enviarão a você podem ser perfeitamente legítimos e, de fato, fornecer um grande valor. Mas eles ainda estão vindo em troca de algumas de suas informações de contato privadas. Enquanto você está ciente disso, eu fiz meu trabalho.

Um exemplo perfeito são os dados que você contribui para plataformas de mídia social como Twitter, Facebook e LinkedIn. Você pode pensar que está apenas se comunicando com seus contatos e seguidores, mas na verdade vai muito além disso.

Pegue um software maravilhoso – e assustador – chamado Recon-ng, usado por profissionais de segurança de rede para testar a vulnerabilidade digital de uma organização. Depois de configurá-lo com alguns princípios básicos sobre sua organização, o Recon-ng irá para a Internet e procurará por qualquer informação publicamente disponível que possa ser usada para penetrar em suas defesas ou causar danos a você.

Por exemplo, você tem certeza de que estranhos não podem saber o suficiente sobre o ambiente de software em que seus desenvolvedores trabalham para causar algum dano? Bem, talvez você deva dar uma olhada na seção “qualificações desejadas” de alguns dos anúncios de emprego que você postou no LinkedIn. Ou que tal perguntas (ou respostas) que seus desenvolvedores podem ter postado no site Stack Overflow?

Cada postagem conta uma história, e não faltam pessoas inteligentes que amam ler histórias.

Softwares como o Recon-ng podem ajudá-lo a identificar ameaças potenciais. Mas isso apenas reforça sua responsabilidade de evitar deixar seus dados expostos ao público em primeiro lugar.

O resultado final? Sorriso. Você está sendo vigiado.

Há muito mais recursos tecnológicos rápidos, divertidos e acessíveis disponíveis em meu Mantendo-se livro. Dê uma olhada.



Fonte

Leave a Reply

Your email address will not be published. Required fields are marked *