Pandemia de coronavírus

Problemas de privacidade e segurança sacodem sucesso do Zoom na pandemia de coronavírus

Popularização do aplicativo de videoconferências durante a quarentena expõe dúvidas sobre a proteção de dados pessoais contra fraudes e ataques cibernéticos

O aplicativo Zoom.
O aplicativo Zoom.Getty Images

Mais informações

Uma simples linha de código abriu a caixa de Pandora da privacidade e da segurança do aplicativo de videoconferências Zoom. O comando em questão servia para que a própria empresa ativasse um kit de desenvolvimento de software ―mais conhecido pela sigla inglesa SDK― do Facebook, o que permitia que tanto a rede social como o aplicativo recolham determinados dados sem consentimento dos usuários, como o endereço IP, o tipo de aparelho, o sistema operacional e a localização e fuso horário da conexão. “Isso afetou unicamente o ecossistema da Apple. Nesta segunda-feira já consertaram o erro, mas o dano está feito. Reuniram dados maciços, mesmo de quem não tem uma conta do Facebook. Agora podem traçar um perfil de quem se conectou”, diz a advogada Natalia Martos, fundadora do escritório jurídico Legal Army.

Nesta segunda-feira, o INCIBE (Instituto Nacional de Segurança Cibernética da Espanha) advertiu que o Zoom publicou um aviso de segurança alertando sobre uma vulnerabilidade para os usuários do Windows que poderia permitir que criminosos digitais roubassem informações confidenciais e executassem arquivos no dispositivo da vítima.

Todas essas práticas levaram a secretária de Justiça de Nova York, Letitia James, a abrir uma investigação judicial. Em uma carta à organização, ela pede que se especifique que tipo de informação o aplicativo recolhe, com que propósitos e a quais outras entidades os dados dos consumidores são entregues. “É uma empresa que não leva em conta a privacidade. Embora seja difícil de provar, isto é uma venda de dados completa. Eles se aproveitaram. Ninguém vende informação gratuitamente. Mais ou menos é o que aconteceu com a Cambridge Analytica”, diz Martos. Mas esta falta de privacidade só representa a ponta do iceberg de todas as polêmicas envolvendo o aplicativo. Com as pessoas isoladas em suas casas, o número de downloads desse aplicativo cresceu 86% em um mês, segundo o portal Crunchbase.

Uma investigação do The New York Times revelou nesta quinta-feira que o aplicativo contava com uma função de garimpagem de dados, acionada assim que a sessão era iniciada, e que unia automaticamente os nomes dos usuários e as direções de email com os perfis do LinkedIn. Tanto fazia se durante a chamada alguém utilizasse um pseudônimo ou optasse pelo anonimato. Se um usuário ativava o serviço LinkedIn Sales Navigator, podia acessar os perfis desta rede social de outros participantes da videochamada ao clicar em um ícone junto aos seus nomes. O CEO da companhia, Eric S. Yuan, anunciou que durante os próximos 90 dias congelará este tipo de opção para corrigir e reverter os problemas de segurança e privacidade que foram detectados.

Ataques de trolls, intromissão em videoconferências alheias, links públicos das salas, uma configuração pré-determinada para a troca de arquivos que permite enviar malware… Um excessivo acúmulo de vulnerabilidades para o sucesso colhido recentemente. O uso do Zoom se popularizou durante esta crise graças à adoção forçada do teletrabalho, das videoconferências entre amigos e familiares, das aulas à distância e todo tipo de conexões remotas.

Conforme o passar dos dias, as polêmicas se multiplicam. Alguns usuários confirmaram que é relativamente simples que alguém controle sua atividade enquanto o aplicativo estiver em uso. Por exemplo, a função One Zoom avisa a quem faz a chamada se um convidado tiver passado mais de 30 segundos sem o programa aberto em primeiro plano. Dessa maneira um chefe poderia saber se alguém acompanhou uma reunião com mais ou menos atenção. A gestão dos correios eletrônicos também gerou controvérsia. O aplicativo adiciona automaticamente outras pessoas à lista de contatos de um usuário se estes forem registrados com um email que compartilha o mesmo domínio. Isso pode ajudar na busca de algum colega específico, embora a face oculta seja que a empresa, ao unificá-los como se trabalhassem para a mesma organização, expõe a informação pessoal entre todos. “Se isto ocorresse na União Europeia, a multa seria impressionante”, observa Martos.

O Zoom se defendeu das acusações com uma publicação em seu blog corporativo. Argumenta que não vende nenhum tipo de informação pessoal; que respeita leis de privacidade, incluindo o Regulamento europeu de proteção de dados e a normativa californiana, conhecida como CCPA; e que não controla reuniões nem tampouco o conteúdo intercambiado. Esta última declaração causou certa polêmica. Já havia sido antecipada pelo site jornalístico The Intercept ao afirmar que não existe uma verdadeira criptografia de ponta a ponta nas videochamadas, e sim um TLS. Ou seja, terceiros não acessam o áudio e vídeo, mas o aplicativo pode fazer isso através do servidor pelo qual a informação transita. “Continuaremos melhorando e evoluindo nosso enfoque de privacidade para assegurarmos que estamos fazendo o correto para nossos usuários”, justifica-se a empresa.

Nestas águas turbulentas, os deliquentes cibernéticos aproveitam o momento para fraudar os usuários. Embora seja um aplicativo gratuito, pode ser encontrada nas lojas de aplicativos dos celulares por cerca de quatro euros (23 reais). É um exemplo evidente de phishing ―um conjunto de técnicas que aproveitam um engano da vítima, ganhando sua confiança ao se fazer passar por uma pessoa, empresa ou serviço de confiança. Os golpistas substituem a imagem do Zoom por outra idêntica, como se sobrepusessem a identidade falsa à original. “Não há receitas mágicas para detectar isso. É preciso ter muita precaução e verificar tudo. Se prestarmos bem atenção, as empresas costumam incorporar dados de autenticidade”, afirma Óscar Lage, especialista em segurança digital da empresa Tecnalia.

Reparar parte dos erros já é impossível. Como argumenta Lage, estes problemas são o resultado de produtos que se preocupam apenas com a funcionalidade. “Não se inclui a privacidade e a segurança desde o começo. A única solução que resta é ir consertando o aplicativo. O ideal seria utilizar aplicativos baseados em código aberto, mantidos pela comunidade e auditáveis”, explica. Existem mais opções para manter o contato digital ou continuar trabalhando de casa. Cada uma com suas características e limitações, mas o sucesso do Zoom não monopolizou as videoconferências. “O Google Hangouts e o Skype seriam boas alternativas. Estão submetidos a uma privacidade muito rigorosa”, conclui Martos.

Informações sobre o coronavírus:

- Clique para seguir a cobertura em tempo real, minuto a minuto, da crise da Covid-19;

- O mapa do coronavírus no Brasil e no mundo: assim crescem os casos dia a dia, país por país;

- O que fazer para se proteger? Perguntas e respostas sobre o coronavírus;

- Guia para viver com uma pessoa infectada pelo coronavírus;

- Clique para assinar a newsletter e seguir a cobertura diária.

Mais informações