Você já se perguntou como sabemos com quem estamos falando ao telefone? Claro que é mais do que apenas o nome exibido na tela. Se ouvirmos uma voz desconhecida ao vinda de um número salvo, sabemos imediatamente que algo está errado. Para ter certeza de com quem realmente estamos falando, inconscientemente observamos o timbre, a maneira e a entonação da fala. Mas quão confiável é a nossa própria audição na era digital da inteligência artificial? Como já noticiado amplamente, não dá mais para confiar em tudo o que ouvimos porque as vozes podem ser falsas: deepfake.
Socorro, estou em apuros
Na primavera de 2023, golpistas no Arizona tentaram extorquir dinheiro de uma mulher via telefone. Ela ouviu a voz da sua filha de 15 anos implorando por ajuda antes que um homem desconhecido pegasse o telefone e exigisse um resgate, tudo isso enquanto ouvia os gritos da filha ao fundo. A mãe teve certeza de que a voz era realmente da filha. Felizmente, ela descobriu rapidamente que estava tudo bem com a filha, percebendo que tinha sido vítima de fraudadores.
Não é possíver ter 100% de certeza de que os invasores usaram um deepfake para imitar a voz do adolescente. Talvez o golpe tenha sido usando um método tradicional: a má qualidade da chamada, o inesperado da situação, o estresse e a imaginação da mãe a faz pensar que ouviu algo que não ouviu. Mas mesmo se as tecnologias de rede neural não tenham sido usadas nesse caso, deepfakes podem e de fato ocorrem, e à medida que seu desenvolvimento continua e se tornam cada vez mais convincentes e perigosos. Para combater a exploração da tecnologia deepfake por criminosos, precisamos entender como isso funciona.
O que são deepfakes?
A inteligência artificial Deepfake ( “deep learning” + “fake” ) tem crescido em ritmo acelerado nos últimos anos. O aprendizado de máquina pode ser usado para criar falsificações convincentes de imagens, vídeo ou conteúdo de áudio. Por exemplo, as redes neurais podem ser usadas em fotos e vídeos para substituir o rosto de uma pessoa por outro, preservando as expressões faciais e a iluminação. Embora inicialmente essas falsificações fossem de baixa qualidade e fáceis de detectar, à medida que os algoritmos se desenvolveram, os resultados se tornaram tão convincentes que agora é difícil distingui-los do real. Em 2022, o primeiro programa de TV de deepfake do mundo foi lançado na Rússia, onde deepfakes de Jason Statham, Margot Robbie, Keanu Reeves e Robert Pattinson interpretam os personagens principais.
Conversão de voz
Mas hoje nosso foco está na tecnologia usada para criar deepfakes de voz. Isso também é conhecido como conversão de voz (ou “clonagem de voz” se for criada uma cópia digital completa). A conversão de voz é baseada em codificadores automáticos, um tipo de rede neural que comprime os dados de entrada (parte do codificador) em uma representação interna compacta e, então, aprende a descompactá-los dessa representação (parte do decodificador) para restaurar o dados originais. Desta forma, o modelo aprende a apresentar os dados em um formato compactado enquanto destaca as informações mais importantes.
Para criar deepfakes de voz, duas gravações de áudio são alimentadas no modelo, com a voz da segunda gravação sendo convertida para a primeira. O codificador de conteúdo é usado para determinar o que foi dito a partir da primeira gravação, e o codificador de alto-falante é usado para extrair as principais características da voz da segunda gravação, ou seja, como a fala da segunda pessoa. As representações comprimidas do que deve ser dito e como é dito são combinadas, e o resultado é gerado usando o decodificador. Assim, o que é dito na primeira gravação é dublado pela pessoa da segunda gravação.
Há outras abordagens que usam codificadores automáticos, por exemplo, com redes adversas generativas (GAN) ou modelos de difusão . A pesquisa sobre como criar deepfakes é apoiada em particular pela indústria cinematográfica. Imagine só: com as deepfakes de áudio e vídeo, é possível substituir os rostos de atores em filmes e programas de TV, e dublar filmes por expressões faciais sincronizadas em qualquer idioma.
Como isso é feito
Enquanto pesquisávamos as tecnologias deepfake, nos perguntamos o quão difícil poderia ser criar um deepfake da própria voz. Acontece que há muitas ferramentas open source gratuitas para fazer conversão de voz, mas não é tão fácil obter um resultado de alta qualidade com elas. É preciso experiência em programação em Python e boas habilidades de processamento, e mesmo assim a qualidade está longe de ser ideal. Além de fontes open source, também há soluções proprietárias e pagas disponíveis.
Por exemplo, no início de 2023, a Microsoft anunciou um algoritmo que poderia reproduzir uma voz humana com base em um exemplo de áudio com apenas três segundos! Esse modelo também funciona com vários idiomas, para que você possa até se ouvir falando um idioma estrangeiro. Tudo isso parece promissor, mas até agora tudo está apenas na fase de pesquisa. Mas a plataforma ElevenLabs permite aos usuários gerar deepfakes de voz sem nenhum esforço: basta carregar uma gravação de áudio da voz e das palavras a serem ditas, e pronto. É claro que, assim que a notícia se espalhou, as pessoas começaram a brincar com essa tecnologia de todas as maneiras possíveis.
A batalha de Hermione e um banco extremamente confiável
Em total conformidade com a lei de Godwin, Emma Watson foi obrigada a ler Mein Kampf, e um usuário usou a tecnologia ElevenLabs para “hackear” sua própria conta bancária. Parece assustador? Para nós, muito! Especialmente quando você adiciona os relatos horrorizantes sobre fraudadores que coletam amostras de vozes por telefone fazendo com que as pessoas digam “sim” ou “confirmem” enquanto fingem ser um banco, agência governamental ou serviço de pesquisa, e depois roubam dinheiro usando a autorização de voz.
Mas na realidade as coisas não são tão ruins o quanto parecem. Em primeiro lugar, leva cerca de cinco minutos de gravações de áudio para criar uma voz artificial no ElevenLabs, então um simples “sim” não é suficiente. Em segundo, os bancos estão cientes desses golpes, então a voz só pode ser usada para iniciar determinadas operações não relacionadas com a transferência de fundos (por exemplo, para verificar o saldo da conta). Portanto, o dinheiro não pode ser roubado dessa maneira.
Aliás, o ElevenLabs reagiu ao problema rapidamente, reescrevendo as regras do serviço, proibindo usuários gratuitos (ou seja, anônimos) de criar deepfakes com base em suas próprias vozes enviadas e bloqueando contas que têm reclamações sobre “conteúdo ofensivo”.
Embora essas medidas possam ser úteis, ainda não resolvem o problema do uso de deepfakes de voz para fins suspeitos.
Outros usos de deepfakes em fraudes
A tecnologia deepfake em si é inofensiva, mas nas mãos dos criminosos pode se tornar uma ferramenta perigosa, com muitas oportunidades de engano, difamação ou desinformação. Felizmente, não houve nenhum caso em massa de golpes envolvendo alteração de voz, mas houve vários casos de projeção envolvendo deepfakes de voz.
Em 2019, os fraudadores usaram essa tecnologia para enganar uma empresa de energia sediada no Reino Unido. Em uma conversa telefônica, o criminoso fingiu ser o executivo-chefe da controladora alemã da empresa e solicitou uma transferência urgente de 220 mil euros para a conta de uma determinada empresa fornecedora. Depois do pagamento ser feito, o estelionatário ligou mais duas vezes, a primeira para deixar a equipe do escritório do Reino Unido à vontade e reportar que a empresa-mãe já havia enviado um reembolso e a segunda vez para solicitar outra transferência. Todas as três vezes, o CEO do Reino Unido tinha absoluta certeza de que estava falando com seu chefe, porque reconheceu seu sotaque alemão, seu tom e maneira de falar. A segunda transferência não foi enviada só porque o criminoso errou e ligou de um número austríaco em vez de alemão, o que deixou o CEO do Reino Unido desconfiado.
Um ano depois, em 2020, criminosos usaram deepfakes para roubar até 35 milhões de dólares de uma empresa japonesa não identificada (o nome da empresa e o valor total de bens roubados não foram divulgados pela investigação).
Não se sabe quais soluções (de código aberto, pagas ou até mesmo proprietárias) os fraudadores usaram para gerar vozes falsas, mas em ambos os casos acima, as empresas claramente sofreram alto prejuízo com as fraudes de deepfake.
O que vem por aí?
As opiniões divergem sobre o futuro dos deepfakes. Atualmente, a maior parte dessa tecnologia está nas mãos de grandes corporações, e sua disponibilidade ao público é limitada. Mas, como a história de modelos generativos muito mais populares como DALL-E, Midjourney e Stable Diffusion mostra, e ainda mais com grandes modelos de linguagem (ChatGPT, por exemplo), tecnologias semelhantes podem muito bem aparecer no domínio público no futuro previsível. Isso foi confirmado por um vazamento recente de correspondência interna do Google, na qual representantes da gigante da Internet expressam o medo de perder a corrida da IA para soluções open source. Isso obviamente resultará em um aumento no uso de deepfakes de voz, inclusive para fraude.
O passo mais promissor no desenvolvimento de deepfakes é a geração em tempo real, o que garantirá o crescimento explosivo de deepfakes (e fraudes baseadas nisso). Já imaginou uma videochamada com alguém cujo rosto e voz são completamente falsos? No entanto, esse nível de processamento de dados requer enormes recursos disponíveis apenas para grandes corporações, então as melhores tecnologias permanecerão privadas e os fraudadores não serão capazes de acompanhar os profissionais. A barra de alta qualidade também ajudará os usuários a aprender a identificar facilmente as falsificações.
Como se proteger
Agora, de volta à nossa primeira pergunta: podemos confiar nas vozes que ouvimos (excluindo as vozes em nossa cabeça)? Bem, provavelmente seria exagerado em ficar paranoico o tempo todo e começar a inventar palavras em código secretas para usar com amigos e familiares para evitar cair nessa. Mas em situações mais graves, essa paranoia pode ser necessária. Se tudo se desenvolver com base no cenário pessimista, a tecnologia deepfake nas mãos de golpistas pode se transformar em uma arma formidável no futuro, mas ainda há tempo de se preparar e construir métodos confiáveis de proteção contra a falsificação: já há muita pesquisa sobre deepfakes, e grandes empresas estão desenvolvendo soluções de segurança. Na verdade, já comentamos detalhadamente algumas maneiras de combater as deepfakes de vídeo aqui.
Por enquanto, a proteção contra falsificações de IA está apenas começando, então é importante ter em mente que as deepfakes são apenas mais um tipo de engenharia social avançada. O risco de se deparar com fraudes como essa é pequeno, mas ainda está lá, então vale a pena conhecer e ter em mente. Se você receber uma chamada estranha, preste atenção na qualidade do som. É um tom monótono não natural, é ininteligível ou há ruídos estranhos? Sempre verifique as informações por meio de outros canais e lembre-se de que pegar de surpresa e induzir ao pânico são as principais armas dos fraudadores.
Fonte: Kasperskay
Renomeação do Azure AD como Microsoft Entra ID ao expandirmos a família do Microsoft Entra
A Microsoft anunciou no dia 11 de Julho, uma futura alteração do nome de um produto: o Microsoft Azure Active Directory (Azure AD) está se tornando Microsoft Entra ID.
A seguir você saberá mais sobre o contexto e o plano dessa alteração de nome para ajudar a esclarecer quaisquer duvidas que você possa ter.
Ação solicitada de você
Atualize seu conteúdo e ativos com o novo nome e ícone do produto a partir de agosto de 2023, Acesse o kit de renomeação.
O que é o Microsoft Entra?
O Microsoft Entra é a família de produtos de identidade e acesso que apresentamos em maio de 2022 para oferecer suporte à nossa visão expandida de acesso seguro. A família de produtos cresceu de três produtos no lançamento, Azure AD, Gerenciamento de Permissões e ID Verificada, para oito atualmente, incluindo ID Governance, ID de Carga de Trabalho e ID Externa.
Estamos renomeando o Azure AD como Microsoft Entra ID
Com a expansão do Microsoft Entra para a categoria Security Service Edge (SSE) e o lançamento de dois novos produtos, Acesso à Internet do Microsoft Entra e Acesso Privado do Microsoft Entra, estamos unificando o portfólio de identidade e acesso à rede da Microsoft na marca Microsoft Entra. Essa alteração simplificará as experiências de acesso seguro para clientes da Microsoft e facilitará a liderança com o nosso valor de segurança de identidade multinuvem e multiplataforma.
Nenhuma ação é necessária dos clientes
Essa renomeação não alterará recursos, APIs, cmdlets do PowerShell, URLs de entrada, contratos de nível de serviço, bibliotecas de autenticação da Microsoft, experiências de desenvolvedores ou ferramentas. Todas as implantações, configurações e integrações continuarão a funcionar sem interrupção.
Nenhuma alteração nos preços e no licenciamento
Todos os planos de preços e licenciamento existentes permanecem os mesmos e podem ser facilmente mapeados entre os planos do Azure AD e do Microsoft Entra ID. Os planos do Microsoft 365 E3 e E5 continuarão a incluir o Microsoft Entra ID (atualmente Azure AD). Novos nomes de exibição de SKU, Microsoft Entra ID Free, Microsoft Entra ID P1 e Microsoft Entra ID P2, estarão disponíveis em 1º de setembro de 2023.
Gerenciamento de alterações
A partir de 20 de junho de 2023, os clientes verão notificações nos portais de administração do Entra, Azure e Microsoft 365, nos nossos sites, na documentação e em outros locais em que interagem com o Azure AD. Concluiremos a alteração de nome em todas as interfaces voltadas para o cliente até o final de 2023.
Recursos adicionais
Saiba mais sobre o Microsoft Entra:
- Leia sobre a família de produtos expandida do Microsoft Entra no blog de comunicados.
Para testar um switch (computador de rede), você pode seguir os seguintes passos:
- Verifique as conexões físicas: Certifique-se de que todos os cabos de rede estejam conectados corretamente aos dispositivos que você deseja interconectar.
- Verifique as luzes indicadoras: A maioria dos switches possui luzes indicadoras para cada porta. Essas luzes geralmente indicam o status da conexão e a atividade do tráfego de rede. Verifique se as luzes estão acesas e piscando conforme o esperado.
- Teste a conectividade: Conecte um computador ou outro dispositivo de rede a uma porta disponível no switch. Verifique se há uma conexão estabelecida e se o dispositivo obtém um endereço IP válido. Você pode tentar pingar outros dispositivos na mesma rede para garantir a conectividade.
- Teste as portas: Se o switch tiver várias portas, você pode testar cada uma delas individualmente. Conecte dispositivos em diferentes portas e verifique se há conectividade em todas elas.
- Verifique o tráfego: Se você estiver lidando com um switch gerenciável, poderá acessar sua interface de gerenciamento por meio de um navegador da web. Lá, você pode monitorar o tráfego de rede, configurar VLANs, verificar estatísticas de porta, entre outras opções.
- Teste de largura de banda: Para verificar se o switch está operando na capacidade esperada, você pode realizar testes de velocidade de transferência de dados entre dispositivos conectados. Existem várias ferramentas disponíveis na Internet para esse propósito, como o iPerf.
Ao realizar esses testes, você poderá verificar se o switch está funcionando corretamente, se as portas estão operacionais e se a conectividade de rede está estabelecida conforme o esperado.
Através desse atalho, é possível verificar em tempo real cada dispositivos com as devidas informações de cada um, como: resumo, hardware, software, etc.
É possível também visualizar todas as informações inventariadas do site selecionado, onde exibirá a lista de dispositivos e suas informações serão exibidas no painel conforme imagem abaixo:
- Resumo
2. Hardware
3. Software
Além dos recursos mencionados acima, dentro do Resumo ainda é possível visualizar: Software Licenciado, Hotflex instalados, Atualizações Instaladas, Patches.
Relatório de Inventário do Cliente
Para gerar um relatório de inventário, todas as informações estarão centralizadas em um documento, basta seguir os seguintes procedimentos:
- Rastreamento de Ativos
- Relatórios
- Relatório de Inventário do cliente
- Selecione a empresa/filial, caso exista mais de uma e clique em ok
Neste relatório você obterá informações de todos os dispositivos monitorados na rede:
- Versão de sistema operacional
- Memória
- Disco
- Processador
- IP e etc
Gostaria de chamar a atenção de todos para um assunto de extrema importância para o crescimento e eficiência como empresa: a implementação de serviços de T.I. gerenciados com automatização, gestão e controle abrangentes.
Hoje, mais do que nunca, vivemos em um mundo altamente dependente da tecnologia e é crucial que nos adaptemos às mudanças para garantir sucesso contínuo.
A CITIS é uma empresa que busca sempre no mercado soluções inovadoras que visam prevenir e antecipar os eventos que possam comprometer o negócio dos nossos clientes. Para isso, utilizamos uma solução de ponta para gerenciar toda a rede dos nossos clientes, o RMM (Remote Monitoring and Management).
A plataforma RMM da CITIS é projetada para oferecer uma ampla gama de recursos essenciais para a gestão e monitoramento remoto do ambiente de T.I. Com os serviços gerenciados da CITIS, você terá a capacidade de:
- Monitorar em tempo real: A plataforma permiti monitorar continuamente o desempenho, identificar problemas e responder rapidamente antes que afetem as operações. Isso ajudará a manter a estabilidade e a disponibilidade dos serviços de TI.
- Automatizar tarefas: Permiti automatizar tarefas rotineiras, como atualizações de software, aplicação de patches de segurança e gerenciamento de inventário. Com a automação, tem o benefício de reduzir erros, economizar tempo e aumentar a eficiência operacional.
- Gerenciar de forma centralizada: A plataforma centralizada permiti gerenciar todos os dispositivos e sistemas de TI a partir de um único painel de controle. Isso simplificará as operações, permitindo que tenhamos uma visão abrangente da infraestrutura e facilite a detecção e resolução de problemas.
- Aumentar a segurança: A solução inclui recursos de segurança avançados, como detecção de ameaças, antivírus, firewall e proteção de dados. Isso ajudará a manter sistemas protegidos contra ameaças cibernéticas e a garantir a conformidade com regulamentações de segurança.
- Suporte especializado: Além da plataforma, a CITIS oferece suporte técnico especializado para ajudar em todas as etapas, desde a implementação até a manutenção contínua. Contará com uma equipe qualificada que poderá auxiliar em qualquer desafio relacionado aos serviços de TI gerenciados.
A implementação de serviços de T.I. gerenciados com automatização, gestão e controle abrangentes, juntamente com a solução de RMM da CITIS, é um passo significativo para garantir a eficiência e segurança das operações.
Considerem conhecer a solução ofertada pela CITIS e tenha uma base sólida para a transformação digital.
Fale conosco pelo WhatsApp
Passo 1 – Após a CITIS cadastrar o seu e-mail no portal RMM, você receberá um e-mail conforme abaixo, para iniciar a ativação da sua conta.
Passo 2 – Preencha todas as informações
Passo 3 – Clique em continuar
Autenticação de dois fatores
Passo 1: Para ativar a autenticação é necessário instalar o app Authenticator. Ele está disponível na loja de acordo com o sistema operacional do seu aparelho. Após instalação inicie a ativação.
Passo 2 – Clique em próximo
Passo 3 – Abra o app, no canto superior direito (3 pontinhos), clique em -> + Adicionar conta > Conta corporativa > Ler com qrcode e aponte o leitor para o código conforme imagem abaixo (campo 1)
Passo 4 – Após, clique em sua conta cadastrada no app Authenticator, visualize o código de 6 dígitos e digite no campo conforme indica na imagem acima (campo 2).
Lembrando que sempre que acessar o portal RMM precisará verificar o código no app para autenticar.
Passo 5 – Baixar o código, conforme informado abaixo, para caso precisar não seja necessário envolver uma solicitação ao suporte e tornar mais demorado o processo.
Bem-vindo(a) RMM
Clique aqui e acesse o seu RMM
Reconhecemos a importância de fornecer informações claras e abrangentes sobre nossos produtos para que você possa utilizá-los da melhor maneira possível.
Nossa equipe se dedica a desenvolver manuais detalhados, com instruções passo a passo e dicas úteis para facilitar o uso da solução. Entendemos que ter acesso a essas informações pode ajudá-lo a aproveitar ao máximo e obter resultados satisfatórios.
Para acessar o tutorial do serviço que busca dentro da solução, procure-o, clique no link e em seguida realize os procedimentos dentro da plataforma.
Se você tiver alguma dúvida adicional ou precisar de assistência, não hesite em entrar em contato conosco. Estamos aqui para ajudar.
Atenciosamente,
Equipe CITIS.
Aqui você encontrará todos os manuais referente a cada módulo do sistema SGP. Para visualizar basta clicar no link e uma nova aba será aberta com o conteúdo.
Meu colega Jake Moore publicou recentemente um artigo intitulado “Houseparty: excluir a conta ou desinstalar o aplicativo? A postagem me intrigou, não apenas por causa do título, que se refere à ótima música de 1982 do The Clash. Mas porque Jake sugere sensatamente que, ao não usar mais um aplicativo, como o Houseparty, o usuário deve excluir o aplicativo e a conta que criou para evitar que seus dados pessoais fiquem inativos em um servidor que pode fazer parte de um possível vazamento de dados.
Se você acha que a exclusão da sua conta removerá as informações de identificação pessoal (PII, sigla em inglês) dos aplicativos de mensagens instantâneas, talvez seja necessário repensar este aspecto, e isso provavelmente se aplica a todos os serviços que incentivam a interação social entre amigos e que, para facilitar isso, solicitam permissão para acessar os contatos no dispositivo do usuário. Se você, assim como eu, nunca usou o Houseparty, pode ser perdoado por supor que o serviço não contém suas informações pessoais; mas, novamente, talvez seja necessário reconsiderar isso.
É provável que seus dados pessoais, como número de telefone e nome, e talvez até mesmo seu e-mail e endereço físico, tenham sido carregados em servidores usados por empresas de redes sociais e de mensagens instantâneas quando a permissão é concedida para sincronizar listas de contatos nos dispositivos de seus amigos.
WhatsApp, que provavelmente é o aplicativo com a maior quantidade de usuários entre os apps similares ao Houseparty, solicita acesso aos contatos. A solicitação de permissão para acessar os contatos é feita pelos provedores da plataforma de aplicativos, como a Apple e o Google, e busca o consentimento necessário exigido pela legislação de privacidade local. A política de privacidade do WhatsApp estabelece que “você nos fornece regularmente, de acordo com as leis aplicáveis, os números de telefone presentes na agenda de contatos do seu dispositivo móvel, incluindo os dos usuários dos nossos serviços, bem como seus outros contatos”.
Outro aplicativo que solicita permissões semelhantes é o Telegram, um popular aplicativo de mensagens instantâneas. A funcionalidade deste aplicativo elimina qualquer dúvida de que este serviço armazena a lista de contatos carregada. Após instalar o aplicativo no telefone e conceder acesso à sua lista de contatos, se você instalar a versão para desktop, os contatos da lista de contatos carregada do seu telefone, que também possuem contas no Telegram, estarão disponíveis dentro do aplicativo de desktop. O aplicativo Telegram solicita permissão para “sincronizar seus contatos” de forma similar a outros aplicativos. A política de privacidade do Telegram também é muito clara sobre os dados utilizados, neste caso o número de telefone, o nome e o sobrenome. Observe a Figura 1 abaixo.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) reconhece que um nome real ou um pseudônimo é informação pessoal e que um número de telefone é um “identificador pessoal único”, pois é um identificador persistente que pode ser usado para reconhecer um consumidor, uma família ou um dispositivo ligado a um consumidor ou família. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia define legalmente um nome como dados pessoais, mas é menos claro no caso do número de telefone. Existem diferenças entre a legislação GDPR e CCPA: uma diferença significativa é que a CCPA não protege apenas um indivíduo, mas também se estende aos lares, o que amplia a definição de “pessoal” para além de um indivíduo.
E o Houseparty?
No início da pandemia, entrei em contato com um bom amigo, o Kent, para organizar um encontro social virtual numa sexta à noite. Ele sugeriu usar o Houseparty, mas acabamos utilizando o Facetime, pois ele preferia não criar outra conta. A partir dessa situação, fiquei sabendo que o Kent usava o Houseparty e tinha uma conta lá. Após uma rápida ligação, confirmo que ele ainda tem o aplicativo instalado para se manter em contato com familiares e amigos, e aproveitei para perguntar ao Kent se ele deu permissão ao Houseparty para acessar seus contatos. Depois de inicialmente dizer “Não, por que eu faria isso?”, rapidamente estabelecemos que ele havia dado permissão, já que, ao clicar para adicionar um amigo através dos contatos, todos os contatos de sua lista telefônica eram exibidos. Vale ressaltar que o aplicativo não funciona realmente como uma ferramenta social, a menos que tenha acesso aos seus amigos.
Ao instalar o aplicativo Houseparty, são oferecidas várias opções, seja para encontrar amigos que já são usuários, sugerir amigos e até amigos de amigos (veja a Figura 2a abaixo). As opções principais são permitir o acesso aos contatos armazenados em seu telefone ou permitir o acesso à sua conta do Facebook, permitindo que o Houseparty extraia sua lista de amigos da rede social. Conforme descrito no texto da Figura 2a, o aplicativo especificamente diz que “seus contatos serão carregados nos servidores do Houseparty para que você e outros possam encontrar amigos e melhorar sua experiência”. Leitores conscientes da importância de proteger a privacidade provavelmente estão suspirando neste momento, especialmente diante da inferência de que outros serão apresentados aos seus contatos.
Se você omitir a permissão durante a instalação, ao clicar em “contatos” ao tentar adicionar amigos, o aplicativo perguntará novamente. Observe na Figura 2b a mudança na linguagem e a falta de esclarecimento de que a lista de contatos será carregada nos servidores do Houseparty.
Agora que estabelecemos que o aplicativo potencialmente extrai todos os dados de contato do seu telefone e de qualquer conta conectada do Facebook, vamos dar uma olhada na política de privacidade do Houseparty para entender exatamente o que eles coletam e como é usado.
Se você já usou um aplicativo ou serviço que carrega seus dados de contato, é possível que tenha visto mensagens do tipo “X se juntou” exibidas no aplicativo ou serviço. A opção de iniciar uma conversa ou se conectar com a pessoa é uma notificação conveniente e a razão pela qual as empresas solicitam permissão para carregar dados de contato em seus servidores.
Política de privacidade do Houseparty: “Que informações coletamos”
A coleta de informações da conta inclui a explicação de que “certas informações” sobre seus amigos são coletadas se você importar seus contatos, consulte a Figura 3.
E se você vincular uma conta de rede social, “certas informações da conta da rede social” são coletadas, consulte a Figura 4.
O uso das palavras “algumas” e “certas” parece vago ao se referir à coleta de dados do tipo Informações Pessoais Identificáveis; isso provavelmente é intencional, pois uma lista detalhada poderia causar preocupação ou até alarme. O fato de a referência aos “contatos” estar dividida entre duas seções da política que abordam “informações da conta” e “contas e aplicativos de terceiros” é confuso. No entanto, é confirmado que os números de telefone e os endereços dos seus contatos são coletados se você der permissão para carregar seus contatos. Espero que por “endereços” eles se refiram a endereços de e-mail… ou estou sendo otimista?
Política de privacidade do Houseparty: “Por que coletamos informações”
O conceito geral de que seus dados de contato são usados para ajudar a se conectar com seus amigos parece perfeitamente razoável e lógico, consulte a Figura 5. A sugestão de outras conexões com base em seus amigos existentes implica que os usuários são perfilados, o que novamente provavelmente não é tão surpreendente para uma ferramenta de redes sociais.
Política de privacidade do Houseparty: “Como coletamos informações”
Ao registrar uma conta, é necessário fornecer uma quantidade de dados para criá-la, mas como era de se esperar, também há beacons de navegador e cookies da web, bem como muitos outros métodos relativamente normais e esperados de coleta de dados. A Figura 6 mostra a redação do Houseparty para a seção intitulada “Obtemos informações sobre você de terceiros”. Eles se referem a “você” como um usuário do Houseparty ou a qualquer outra pessoa no mundo? Uma política de privacidade deve ser aceita pelas pessoas que são afetadas por ela, portanto, é seguro para o Houseparty assumir que isso se aplica apenas a um usuário registrado do Houseparty?
Em seguida, chegamos à possível resposta às perguntas que acabei de levantar: “Também podemos coletar informações sobre você de outros usuários. Isso pode incluir seu nome, número de telefone ou endereço de e-mail se você for convidado ou referido ao nosso aplicativo ou se eles vincularem seus contatos à sua conta do Houseparty”. Isso estabelece que a política de privacidade do Houseparty se aplica a alguém que não é usuário do Houseparty e a alguém que nunca teve a oportunidade de aceitar a política de privacidade do Houseparty. Isso confirma que eles podem potencialmente ter meus dados devido ao carregamento da lista de contatos de um “amigo”.
No entanto, o uso de “você” se torna confuso ao ler a próxima seção sobre “suas opções”, onde se faz referência a um usuário registrado que pode tomar decisões nas configurações da sua conta, como preferências de marketing.
Recuperando minha identidade
Estabeleci anteriormente que meu amigo Kent carregou sua lista de contatos e, como indicado na política de privacidade do Houseparty, isso inclui pelo menos meu número de telefone e meu nome, ambos classificados como Informações de Identificação Pessoal (PII) de acordo com a Lei de Privacidade do Consumidor da Califórnia. Como residente da Califórnia, tenho o direito de solicitar quais informações de identificação pessoal uma empresa retém e potencialmente compartilha sobre mim, e, se desejar, solicitar a exclusão desses dados. Fiz tal solicitação para descobrir quais dados eles têm sobre mim. Aqui está um resumo da conversa por e-mail…
Minha solicitação – Como residente da Califórnia, envie-me uma cópia de quaisquer dados sobre mim que incluam meu nome, endereço de e-mail ou número de telefone.
Resposta do Houseparty – O endereço de e-mail de onde você está nos contatando não reflete nenhuma conta, então posso apenas pedir que você envie uma nova solicitação usando o endereço de e-mail correto que você usou para registrar a conta.
Há uma clara desconexão entre minha solicitação e a resposta; pedi dados que eles poderiam ter sobre mim, mas a resposta se refere ao fato de que não há uma conta registrada para os dados que forneci em minha solicitação. Então, perguntei novamente…
Minha solicitação – Eu nunca tive uma conta e solicito a confirmação de que minhas informações pessoais não estão em nenhum sistema de sua empresa.
Resposta do Houseparty – Não se preocupe, pesquisei suas informações em nosso sistema, mas não encontrei nenhuma conta com seu número de telefone ou seu e-mail, portanto, não temos nenhum dado sobre você.
A desconexão parece ser que eu não sou um usuário e, portanto, não há dados sobre mim, mas na realidade eles têm acesso aos dados de contato carregados por Kent, que incluem minhas informações pessoais. Em nenhum momento eu dei meu consentimento para que eles retivessem meus dados pessoais nem aceitei seus termos de serviço ou política de privacidade. Os dados são armazenados como parte da conta do meu amigo ou foram mesclados em um conjunto de dados maior? Eles estão sendo usados para perfilar usuários que permitam a introdução de outros amigos até então desconhecidos? Os dados da lista de contatos carregados são excluídos quando o usuário que os carregou exclui sua conta? Segundo a equipe de suporte do Houseparty, a resposta é sim…
Minha solicitação – Se eu der permissão para carregar meus contatos do meu telefone, você [Houseparty] pode confirmar quais informações serão carregadas, como nome, e-mail, número de telefone, etc.? E se eu decidir excluir minha conta posteriormente, todos esses dados de contato carregados serão excluídos junto com minha conta?
Resposta do Houseparty – Primeiro, o aplicativo solicita permissão para ler seus contatos do dispositivo para verificar quais de seus contatos já estão usando o Houseparty, para que você possa se comunicar com eles, pois o contato existe em seu dispositivo e isso torna mais rápido convidá-los para que possam se comunicar com você. Basicamente, o aplicativo lê o nome, o e-mail e o número de telefone para que eles possam ser contatados por você mais rapidamente. Uma vez que você solicita a exclusão de uma conta, todas as informações são excluídas da conta do Houseparty, todos os nomes, e-mails e números de telefone de seus contatos, bem como as informações que você usou para criar sua própria conta.
Minha solicitação – Se eu der permissão para carregar meus contatos do meu telefone, você [Houseparty] pode confirmar quais informações serão carregadas, como nome, e-mail, número de telefone, etc.? E se eu decidir excluir minha conta posteriormente, todos esses dados de contato carregados serão excluídos junto com minha conta?
Resposta do Houseparty – Primeiro, o aplicativo solicita permissão para ler seus contatos do dispositivo para verificar quais de seus contatos já estão usando o Houseparty, para que você possa se comunicar com eles, pois o contato existe em seu dispositivo e isso torna mais rápido convidá-los para que possam se comunicar com você. Basicamente, o aplicativo lê o nome, o e-mail e o número de telefone para que eles possam ser contatados por você mais rapidamente. Uma vez que você solicita a exclusão de uma conta, todas as informações são excluídas da conta do Houseparty, todos os nomes, e-mails e números de telefone de seus contatos, bem como as informações que você usou para criar sua própria conta.
Confirmar que os dados não são carregados e depois admitir que a equipe de suporte na verdade não sabe o que é carregado é ruim. Se você não conhece os fatos, não forneça uma resposta!
Em defesa do Houseparty, e como vimos no início desta postagem, é provável que o problema não seja exclusivo deles. Qualquer aplicativo que carregue listas de contatos do dispositivo de alguém para seus próprios sistemas ou mantenha acesso às listas de contatos pode potencialmente enfrentar o mesmo problema. E se o Houseparty não está carregando ou armazenando listas de contatos dos dispositivos dos usuários registrados, então a empresa deve alterar a redação de sua política de privacidade e atualizar a mensagem exibida no aplicativo. Em minha experiência, as empresas raramente afirmam que armazenam dados PII a menos que realmente o façam. Por que afirmar ter ou fazer algo se não for verdade, especialmente considerando as responsabilidades legais geradas pela retenção de PII nos dias de hoje?
Quem é o proprietário dos dados de contato armazenados no telefone de alguém? O proprietário do dispositivo tem o direito de compartilhá-los com terceiros, como Houseparty ou Telegram? E uma terceira parte deve solicitar o consentimento do contato, no caso eu, para reter o acesso ou o armazenamento dos dados de identificação pessoal em seus sistemas?
Então, quando meu colega Jake sugeriu excluir contas e aplicativos não utilizados, ele estava dando um bom conselho, algo que eu defendo e concordo totalmente. No entanto, como detalhado anteriormente, isso não significa necessariamente que o risco de fazer parte de qualquer violação de dados que uma empresa possa sofrer seja evitado, nesse caso, Houseparty, Telegram ou WhatsApp. É provável que suas informações de identificação pessoal permaneçam nos servidores das empresas de mensagens instantâneas e redes sociais e continuem acessíveis a eles por meio de contas de redes sociais vinculadas ou listas de contatos de seus amigos.
No caso de ocorrer uma violação de segurança, eles são obrigados a enviar um aviso de violação não apenas para os titulares de contas registradas, mas para todas as pessoas sobre as quais eles têm dados ou cujos dados eles têm ou tiveram acesso? Infelizmente, até onde eu sei, a notificação de violação é apenas um requisito aplicado aos titulares de contas. A legislação de privacidade e as notificações de violação provavelmente deveriam se estender a todos os dados de PII armazenados, não apenas aos dos titulares de contas.
Conclusão
Minha conclusão é que alguns serviços de mensagens instantâneas e redes sociais armazenam minhas informações de identificação pessoal não apenas sem meu consentimento, mas também sem meu conhecimento, e provavelmente sem nenhum mecanismo (ou mesmo vontade deliberada) que me permita descobrir se esse é o caso.
Fonte: Welive Security