Ex-funcionário avisa que Google pode acessar todos os documentos dos usuários de sua nuvem
Governo dos Estados Unidos e empresas que usam a ferramenta colaborativa da companhia também poderiam ver esses dados
“O Google tem tudo o que precisa para ler seus dados”, escreve Martin Shelton, funcionário da empresa entre 2017 até setembro deste ano. Shelton agora é pesquisador principal da fundação Freedom of the Press, onde publicou um artigo sobre sue ex-empresa.
A afirmação de Shelton tem implicações muito relevantes. Não somente o Google tem acesso a documentos em sua nuvem, como também estão ao alcance dos organismos do Governo dos Estados Unidos. E mais ainda, os administradores das empresas que usam sua ferramenta colaborativa G Suite e desejam acessar o trabalho de seus funcionários podem fazê-lo, de acordo com o engenheiro.
A mensagem do especialista é que a nuvem é acessível: do Google Docs a uma caixa de entrada de e-mail. Isso não é nenhuma afirmação explosiva em 2019. O EL PAÍS entrou em contato com Shelton para perguntar se, em seu artigo, revelou algum tipo de informação interna, especialmente quando deveria estar sob um acordo de confidencialidade com a empresa após sua saída: “Tudo o que contei lá é baseado em documentos públicos, e cada um pode ir ver por si mesmo”, explica. E acrescenta: “Agora vou investigar como o Microsoft Office 365 lida com os dados dos usuários da mesma maneira”.
O argumento que Martin Shelton quer destacar é que tudo o que está na nuvem é suscetível de ser consultado por terceiros. Portanto, quem lida com informações confidenciais —ou dados que possam ser um dia— que use outro local, mas não a nuvem. “O Google tem muitas razões para acabar lendo suas informações”, escreve o engenheiro.
O Google começou a expulsar aleatoriamente usuários de seu serviço Google Docs em outubro de 2017. Justificou sua decisão de que o usuário “violou os termos de serviço”. Como a empresa pode saber que alguém violou seus termos de serviço em um documento de Drive? Porque os lê. “Usamos sistemas automatizados que analisam seu conteúdo para te proporcionar coisas como resultados de pesquisa adequados, anúncios personalizados e outras funções sobre como você usa nossos serviços. E analisamos seu conteúdo para que você nos ajude a detectar spam [e-mail não solicitado, com fins comerciais], vírus e conteúdo ilegal”, diz o Google em sua política de privacidade.
É útil que a empresa leia seus e-mails
O Gmail detecta spam maravilhosamente porque lê e analisa as mensagens de e-mail de todos os seus usuários. É um serviço útil. Isso não implica que funcionários do Google estejam dando uma olhada em documentos em caixas de entrada para encontrar ilegalidades. Mas poderiam fazer isso se quisessem.
Martin Shelton admite que não sabia nada sobre esse assunto até muito tempo depois de ter começado a trabalhar no Google: “Durante muito tempo eu não tinha a menor ideia”, e acrescenta: “Trabalhei na equipe do [navegador] Chrome. O Google trabalha em tantos projetos diferentes que é difícil acompanhar todos eles. Não sabia sobre esses sistemas até começar a investigá-los seriamente”.
No entanto, sabe-se que os controles físicos —câmeras, vigilância, registros de quem tem acesso— da empresa em seus centros de dados são severos. Porém, pouco se sabe sobre quais funcionários têm permissão para bisbilhotar as informações: “Não sabemos quantas pessoas no Google têm acesso aos dados de usuários ou como é determinado o acesso delas. A que tipo de dados podem ter acesso e em que circunstâncias? Quantas pessoas podem obter essas informações com uma petição legal? Não sabemos”, escreve Shelton.
Poucos no setor de segurança cibernética ficam surpresos ao conhecer esses detalhes. “É o mesmo de sempre. Quando você aceita os termos e condições, se curva à arbitrariedade do fornecedor. Os problemas habituais (não relacionados à mídia) e que demonstram a proteção do Google sobre o conteúdo que é enviado envolvem a supressão de material com copyright ou que se considere que “viola a regulamentação do Google”, diz Enric Luján, professor de Ciência Política especializado em tecnologia e privacidade da Universidade de Barcelona e membro do grupo Críptica.
"Não sabemos quantas pessoas no Google têm acesso aos dados dos usuários"
Os usuários suspeitam menos de que seus documentos na nuvem sejam acessíveis e que é melhor manter suas informações confidenciais em ferramentas criptografadas ou, quase melhor, fora do computador. É mais uma chamada para abrir os olhos, de acordo com o ex-funcionário da empresa de tecnologia: “Fazer que o G Suite seja criptografado é um enorme desafio técnico. Pode potencialmente romper algumas das funções do Google”, diz Shelton ao EL PAÍS. “Se o Google não pudesse ler os e-mails, perderia a opção de escanear para detectar conteúdo malicioso, o que é uma grande vantagem do G Suite. Mas se perde a capacidade de ler seus documentos, você poderá perder a verificação ortográfica ou alguns recursos de busca no Google Cloud. Parece-me bom”, acrescenta.
Quem não estiver de acordo com esse sistema deveria considerar deixar informações confidenciais longe do Google. Não apenas porque a empresa pode vê-la, mas porque o administrador de uma empresa pode acessar esses dados ou porque o Google pode compartilhá-los com quem quiser.
Nas empresas que possuem o G Suite, os “superadministradores” podem ativar o Vault, um sistema que, segundo o Google, serve para a “conservação de dados e descobrimento eletrônico”. Como muitas coisas na empresa de tecnologia, é um eufemismo para dizer que esse “superadministrador” pode recuperar e buscar em todos esses documentos: “Mensagens de Gmail, chats na versão clássica do Hangouts com o histórico ativado, chats de Google Talk com o registro ativado, grupos de Google, arquivos no Google Drive, conversas de Hangouts Chat com o histórico ativado e gravações de Hangouts Meet”, de acordo com o Google. Nada nunca desaparece totalmente, mesmo que você apague. “Em outras palavras, os administradores podem ler seus rascunhos de e-mail ao vivo ou repetir [o ritmo da escrita] depois que você os terminar”, escreve Shelton.
Jornalistas, advogados, funcionários públicos que lidam com dados confidenciais devem ter cuidado com o que armazenam na nuvem. Nada é completamente privado.
O que diz o Google
No Brasil, a assessoria de imprensa do Google procurou o EL PAÍS para transmitir esta nota: "O G Suite foi projetado para cumprir com rígidos padrões de privacidade e segurança, seguindo as melhores práticas da indústria. Os dados dos clientes do G Suite são criptografados quando eles estão em um disco, armazenados em uma mídia de backup, enquanto transitam pela internet ou quando trafegam entre nossos data centers. Além disso, seguimos processos rigorosos quando recebemos pedidos de informação por parte de entidades governamentais e rejeitamos aqueles pedidos que são inválidos. Divulgamos a quantidade de solicitações governamentais que recebemos em nosso Relatório de Transparência."
