• Nenhum resultado encontrado

A Internet e os nossos Dados Pessoais

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2022

Share "A Internet e os nossos Dados Pessoais"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

1. Introdução

A coleta de dados pessoais dos usuários via internet não é assunto novo, entretanto, com o advento da Lei Geral de Proteção de Dados europeia (GDPR) em vigor desde 25 de maio de 2018, e a aprovação da Lei Geral de Proteção de Dados Pessoais pelo Congresso Nacional em 10 de julho de 2018, supõem-se que muita coisa tenha mudado na Europa e que será mudado também em nosso país. Muitos países como o Brasil aceleram seus trabalhos para a criação de uma lei geral de proteção de dados pessoais. Mas será que a nova lei respeitara os direitos dos usuários? Vamos compreender todo o contexto dos dados pessoais, a partir do entendimento dos cookies e passando por scripts de coleta específicos utilizados pelas empresas que comercializam nossos dados pessoais. Neste artigo, vamos rastrear quem está nos rastreando.

2. O processo hoje

Quando você acessa um site na internet, mesmo os europeus com a GDPR, os seguintes eventos ocorrem sem que você tenha conhecimento:

1. O site visitado lhe conecta a outros sites parceiros;

2. Vários scripts são executados remotamente, interagindo com os dados pessoais armazenados em seu computador;

3. Antes que você responda se aceita ou não os cookies, estes já foram manipulados pelos scripts, gravando informações (POST) e coletando informações (GET) a nosso respeito.

Para fazer essa análise, bastante trabalhosa, é necessário compreensão de como os navegadores operam, como scripts são operados pelas empresas que trabalham nossos dados pessoais e observar os momentos em que cada arquivo envolvido nesse processo são alterados.

Por fim, abrimos esses arquivos para analisar seu conteúdo.

Nas sessões seguintes, vamos adentrar nesse processo, com o objetivo de dar um pouco de visibilidade para o usuário que não tem conhecimento destas informações. O processo de ofuscação utilizado pelas empresas especializadas em coleta de dados tem como principal objetivo não serem percebidas. Pode-se fazer uma analogia com os hackers que invadem nossos computadores e extraem informações valiosas a nosso respeito, sem que tivéssemos dado autorização para isso.

(2)

3. O que são os cookies?

Os cookies são pequenos arquivos de banco de dados que armazenam informações em texto, nem todos criptografados, que geralmente são localizados nos diretórios dos navegadores como Internet Explorer, Mozilla Firefox, Google Chrome e Microsoft Edge.

Eles são conhecidos como cookies de navegador ou cookies de rastreamento. A utilização dos cookies pode ser tanto útil para o usuário quanto abusivo e invasivo, e vamos compreender os dois lados do uso dos cookies e outros recursos utilizados pelas empresas, enquanto você navega pela internet. Vamos também olhar as informações gravadas nos cookies e analisá-los em detalhes.

4. Quando os cookies são úteis ao usuário?

Imagine um cenário onde você necessita fazer compras em um site de e- commerce na internet e suponhamos que você deseje comprar vinte produtos. Nesse contexto, os cookies são úteis ao armazenar cada item selecionado, normalmente pela ação do usuário ao selecionar a opção “adicionado ao carrinho”, facilitando a interação dos usuários nos sites de e- commerce da internet, pois neste cenário caso não existisse os cookies, o usuário precisaria efetuar vinte compras consecutivas, uma após a outra, pois não haveria recurso para armazenar os itens selecionados, o que tornaria a experiência do usuário muito tediosa no comercio digital.

Os cookies são criados quando o navegador de um usuário visita um site específico. O site visitado interage com o navegador do usuário, enviando (POST) e coletando (GET) informações, e criando um arquivo de texto que recebe o nome de cookie. Toda vez que o usuário revisita o site, o navegador recupera o arquivo do cookie e envia esse arquivo para o servidor do site.

5. Quando os cookies são nocivos ao usuário?

Muitos servidores de sites definem cookies para ajudar a autenticar o usuário quando este efetua login em uma área segura do site. Normalmente há um botão com o nome

“permanecer conectado”, onde ao click do usuário, as informações de login são armazenadas em um cookie para que o usuário possa entrar e sair do site sem precisar redigitar as mesmas informações de autenticação, usuário e senha, repetidas vezes.

(3)

Mas se essas informações ajudam na experiência do usuário com os sites de e- commerce na internet que ele visita, por que eles são nocivos aos usuários? Para compreender o cenário de uma forma mais ampla, vamos rastrear nossos perseguidores em um exercício prático de navegação comum.

Neste exercício vou acessar o site https://www.trivago.com, simulando interesse em pesquisar hotéis para eventual viagem.

6. Rastreando quem está nos rastreando

A única ação minha é digitar o endereço da página no navegador e teclar

“ENTER”.

Figura 1 – Acesso ao site

Veja na figura 1 que apenas digitei o endereço do site sem nenhuma outra interação. Mas quando analisamos as primeiras informações desta interação inicial na figura 2, logo de cara notamos que ao acessar o site, fomos conectados a outros 58 (cinquenta e oito) parceiros do site que visitamos, sem que o usuário tivesse conhecimento dessa interação. A partir dessa informação, é fácil compreender porque os usuários de planos de telefonia móvel não compreendem as razões de seus planos de acesso serem consumidos de forma tão rápida. Eles foram informados dessas interações? Se não foram, é justo o consumidor pagar pelos acessos que foram realizados e consumidos pelo site que ele visitou?

Esse é apenas o início de uma longa discussão a respeito dos dados pessoais onde, invariavelmente, é dado atenção especial aos cookies, desviando a atenção de todas as outras interações que ocorrem durante a navegação dos usuários em sites na internet.

(4)

Figura 2 – Análise do acesso ao site

Vamos verificar em mais detalhes esses parceiros que interagiram com meu computador, enquanto um site específico foi acessado, sem nenhuma outra ação.

Durante esta sessão de acesso, foram detectados 58 pedidos para 58 domínios de terceiros, carregados a partir de um único site visitado. Sem que houvesse qualquer interação desde que digitei o endereço do site e cliquei “ENTER”, foram executados 16 (dezesseis) scripts que vieram vasculhar dados em meu computador, foram carregados 25 (vinte e cinco) imagens de outros domínios, executadas 3 (três) requisições, e carregadas 2 (duas) sub_frames de outros domínios. O que significa tudo isso? Significa que seus dados pessoais valem muito dinheiro!

Esta primeira extração e análise de dados nos dá uma noção de como somos, a todo instante, rastreados na internet. Podemos perguntar: Se eu apenas acessei um site de hotel, por que eu fui conectado à sites de empresas como Google, Facebook, Twitter, IntentMedia, e Criteo, entre outros?

Resposta direta: Estas empresas podem rastrear suas tendências a partir destes códigos e então, fabricar perfis detalhados sobre você e usar petiscos (cookies) para examinar e armazenar informações individuais a seu respeito. Essas informações sobre você são comercializadas porque fornece às empresas interessadas um perfil de potencial consumidor para produtos e serviços específicos.

(5)

Os próximos controles de ePrivacy a partir de uma lei de proteção de dados pessoais, como a exemplo da GDPR na Europa, assim como a Lei Geral de Proteção de Dados no Brasil pode trazer perspectivas do entendimento que você, usuário, não é responsável pelo que seu navegador de internet está trabalhando em saber sobre você, enquanto você navega na internet sem saber disso.

Sem entrar em detalhes técnicos quanto à programação utilizada, vamos examinar um pequeno trecho de apenas um dos códigos de um script Java que foi executado após a ação de apenas entrar no site.

getClientId")+"?key=AIzaSyA65lEHUEizIsNtlbNo-l2K18dT680nsaM",!0);e.withCredentials Esta linha de código sugere exatamente o que o código executa. Colher as informações do usuário (getClientId) juntamente com suas credenciais (withCredentials).

Mas em algum momento você autorizou a coleta dessas informações? A discussão quanto às leis que nos ampara a partir da Constituição Federal não é foco nesse texto, embora seja um ótimo ponto para discussão. Aqui vamos ver, na prática, porque os cookies são importantes para essas empresas.

O aspecto legal com relação ao acesso às nossas informações de comunicações privadas armazenadas, praticadas indiscriminadamente pelas grandes corporações que comercializam nossas informações privadas, deixo para os colegas advogados que possuem muito mais propriedade que eu para abordar o tema.

Vamos analisar tecnicamente quais informações as empresas estão coletando a nosso respeito. Neste exemplo vou capturar as informações do navegador Mozilla Forefox.

As informações pessoais que são armazenadas a meu respeito são divididas em quatro arquivos, mostrados abaixo na figura 3. Para outros navegadores, os arquivos são diferentes, assim como o processo de armazenamento, codificação e decodificação das informações. Mas o propósito de todos eles são o mesmo.

Figura 3 – Banco de dados de informações pessoais

(6)

O arquivo cookies.sqlite possui as informações de nossas interações, que são armazenadas para serem coletadas posteriormente. O arquivo formhistory.sqlite são os formulários que você preenche enquanto navega na internet, o arquivo places.sqlite possui as informações dos locais que você visita na internet e o arquivo sessionstore.js contém as informações das sessões com os dados dos sites que você visitou.

Vamos abrir o arquivo formhistory.sqlite e verificar que informações estão armazenadas neste arquivo.

Tomando apenas as primeiras nove informações do banco de dados formhistory.sqlite dá para se ter uma ideia do nível de informações que são coletadas ao nosso respeito dia após dia.

Veja na figura 4 as linhas 1 e 2. O valor dos campos “agencia” e

“campo_conta”, assim como os demais, foram sombreados pois exibem as informações de minha agencia bancária e número da conta corrente. As linhas 3 e 8, campos “username” e “user”

exibem as informações de contas de e-mail que eu acessei. A linha 7, campo “session_key”, possui a informação de uma sessão que foi armazenada com as credenciais de acesso àquela conta. A linhas 4, 5 e 6, campo “searchbar-history” possuem as informações de históricos de pesquisas na internet, e a linha 9, campo “palavrachave” possuei a informação das palavras que utilizei para as pesquisas na internet, utilizando sites de procura como Google, Bing, etc. Este arquivo contem todo seu histórico de acesso.

Figura 4 – Armazenamento das informações pessoais

Tudo o que você faz na internet, absolutamente tudo, está armazenado e sendo coletado pelas empresas, sem o seu conhecimento e consentimento. Uma verdadeira afronta aos usuários. Mas esse é apenas o início, vamos analisar o conteúdo do arquivo places.sqlite.

(7)

Na figura 5 podemos verificar a estrutura do arquivo places.sqlite, com várias tabelas que armazenam informações sobre sua navegação na internet.

A tabela moz_inputhistory por exemplo grava tudo aquilo que você digitou enquanto navegava na internet. Por exemplo, para acessar seu banco, você digitou www.meubanco.com.br seguido das informações de agência e conta corrente. Essas informações foram armazenadas nessa tabela, assim como os outros acessos que fazemos em sites de correio eletrônico pessoal e e-commerce.

Figura 5 – Estrutura do arquivo places.sqlite

A tabela moz_places mostra todos os acessos a sites, e também local em meu computador. Note na figura 6 o endereço da linha 1300 de um acesso a um site da internet, já as linhas 1301 a 1303 foram os acessos ao Webserver pessoal de uma suíte de gerenciamento de projetos OpenSource chamada ProjeQtOr.

Figura 6 – Tabela moz_places

A tabela moz_hosts do arquivo places.sqlite possui gravada as informações de todos os sites (hosts) que você visita. Estou utilizando apenas alguns exemplos em umas poucas linhas, mas todas as informações estão lá armazenadas.

(8)

Figura 7 – Histórico de todos os sites que você visita

E quanto às informações de data e hora que você visitou o site? Veja na figura 8 que muitas das informações nesses bancos de dados, como datas e senhas que você digitou, estão codificadas. Mas nós podemos decodifica-las.

Figura 8 – Informações codificadas

Veja na figura 9 o valor da informação 1524838264159000 do campo

“visit_date” decodificado, trazendo a data e hora precisa de minha interação com o site.

Figura 9 – Decodificando os dados

Este é outro aspecto relacionado à Segurança da Informação. Você já se perguntou se essas informações estiverem nas mãos de um especialista que possua capacidade de decodificar absolutamente tudo a respeito de seus dados, ou mesmo de sua empresa? Sim, porque sua empresa é operada por usuários em um nível hierárquico dentro dela, correto? Então, o mesmo alerta serve para sua empresa.

(9)

Claro que por razões óbvias não vou mostrar aqui onde ficam armazenadas as informações de credenciais, mas é exatamente isso que as empresas também sabem a seu respeito.

Estou de fato rastreando as empresas que nos rastreiam, e que estão a todo momento operando nosso computador junto conosco, porém sem a nossa percepção e sem nossa autorização. Utilizando técnicas forenses para decodificar o que elas vêm buscar em nossos computadores toda vez que interagimos com a internet, consegui listar abaixo algumas informações pessoais que já não pertencem apenas a mim e a você. Essas informações já estão em poder delas, nossos dados são largamente comercializados e acredite: valem bilhões.

Note cada palavra com bastante atenção no código abaixo, extraído de um dos scripts executados enquanto eu apenas acessei um site e teclei “ENTER”. Você não precisa ser um especialista em programação, mas estou certo que vai conseguir identificar que tipo de informação estão sendo coletadas. Os nomes das variáveis falam por si só, mas as que mais chamam a atenção eu destaquei em amarelo.

======Inicio do código parcial======

g=hj.tryCatch(function(a){var

b=a.tagName.toLowerCase();a=a.type.toLowerCase();return"input"===b&&-

1<p.indexOf(a)},"hj.privacy._isBlacklistedInputType"),e="address address1 address2 addressline1 addressline2 cell cellphone dateofbirth dob email familyname firstname fullname lastname mobile name phone postalcode postcode surname tel telephone username zip zipcode nationalinsurancenumber nin ppsn security securitynum socialsec socialsecuritynumber socsec ssn adgangskode authpw contrasena contrasenya contrase\u00f1a contrasinal cyfrinair fjal\u00ebkalim focalfaire geslo has\u0142o heslo jelsz\u00f3 kennwort k\u03c9\u03b4\u03b9\u03ba\u03cc\u03c2

k\u03c9\u03b4\u03b9\u03ba\u03cc\u03c2\u03c0\u03c1\u03cc\u03c3\u03b2\u03b1\u03c3\u03b7\

u03c2 lozinka lykilor\u00f0 l\u00f6senord motdepasse parakalw parola paroladordine parole parool pasahitza pass passord password passwort pw pwd pword pwrd salasana sapwd senha sifre slapta\u017eodis userpw userpwd wachtwoord \u043b\u043e\u0437\u0438\u043d\u043a\u0430

\u043f\u0430\u0440\u043e\u043b\u0430 \u043f\u0430\u0440\u043e\u043b\u044c

\u05e4\u05bc\u05d0\u05b7\u05e8\u05d0\u05b8\u05dc

\u0643\u0644\u0645\u0647\u0627\u0644\u0633\u0631

(10)

\u092a\u093e\u0938\u0935\u0930\u094d\u0921 \u30d1\u30b9\u30ef\u30fc\u30c9 \u5bc6\u7801

\u5bc6\u78bc \uc554\ud638 cc cccsc cccvc cccvv ccexp ccexpiry ccexpmonth ccexpyear ccname ccnum ccnumber cctype creditcard csc cvc cvv exp accountnum accountnumber bic iban ibanaccountnum ibanaccountnumber pin pinno pinnum secq secret secretq secretquestion securityq securityquestion sortcode swift".split(" ")

======Fim do código parcial======

Voce forneceria o seu número de cartão de crédito para alguém, juntamente com a validade dele e os 3 dígitos de segurança? E as informações de sua conta corrente do banco que você opera? Concorda que são informações valiosas para serem comercializadas?

Alguma vez nós autorizamos a coleta dessas informações pessoais?

Isso é o que acontece quando concordamos, e mesmo quando não, com o uso de cookies.

7. Conclusão

A utilização de cookies para propósitos específicos se mostra, de fato, uma necessidade para o e-commerce moderno, mas infelizmente eles são utilizados junto com outros recursos, como os scrips, para coletar muito mais informações do que qualquer usuário possa imaginar. A motivação é o retorno financeiro nas negociações de nossos dados pessoais na forma de perfis montados especificamente para os vendedores invisíveis que aparecem a todo instante em nosso ambiente digital.

As empresas, ao apresentar um botão perguntando se você concorda ou não com a utilização de cookies, deveriam levar a correta informação de todo o processo invasivo que ocorre ao acessarem nossos dados em nossos ambientes pessoais, cujos dados são de nossa propriedade.

Quem está monitorando esse verdadeiro arrastão que ocorre todos os dias com os usuários da internet?

Ao transformar a internet em uma enorme máquina de fazer dinheiro com nossos dados pessoais, seria o mínimo esperar honestidade por parte das empresas em levar a informação correta aos usuários, com a devida precisão, considerando que a informação justa revela o uso da imparcialidade para reconhecer o direito de cada um.

Referências

Descarregar agora ( PDF - 10 páginas - 533.15 KB )

Documentos relacionados

Programa de Aperfeiçoamento RADIOLOGIA INTERVENCIONISTA PERCUTÂNEA. Comissão de Residência Médica COREME

Possui graduação em Medicina pela Faculdade de Medicina de Jundiaí (1989), Residência Médica em Medicina Geral e Comunitária pela Faculdade de Medicina de Jundiaí (1991) e em

HEMATOLOGIA DO Mylossoma duriventre (SERRASALMIDAE) DA BACIA DO RIO SOLIMÕES, AMAZÔNIA CENTRAL (BRASIL) RESUMO

Como não se conhece parâmetros hematológicos do pacu-manteiga Mylossoma duriventre Cuvier, 1817, a proposta do presente estudo foi descrever tais parâmetros em espécimes

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A identificação do tratamento de dados pessoais propiciada pelos itens 10.3 e 10.4 da Figura 11 fornecerão elementos para descrição do contexto de tratamento no RIPD

Conhecendo a Lei Geral de Proteção de Dados Pessoais - LGPD

Com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade no país, a Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018) entrou em vigor em setembro do

O QUE É LGPD E COMO ELA PODE PRESSIONAR OS ÓRGÃOS TRIBUTÁRIOS

Proteção de Dados da União Europeia (GDPR, na sigla em inglês), a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/2018) tem como principal objetivo é garantir

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Apesar de não ser uma obrigação prevista expressamente na LGPD, considera-se uma boa prática a adoção de cláusulas específicas para a proteção de dados pessoais, não somente

Aviso de Privacidade Compliance e Investigações Internas Canal de Denúncias (Whistleblower System) Porsche Brasil

Por meio deste, informamos que o tratamento dos seus dados pessoais (“Dados”) está de acordo com a Lei Geral de Proteção de Dados (LGPD) e GDPR, conforme

LEI /18 LEI DE PROTEÇÃO DE DADOS PESSOAIS

• Como a LPD será aplicada independentemente da época em que a empresa teve acesso aos dados pessoais, para evitar o risco de indenizações quanto ao tratamento de