{"id":9675,"date":"2016-09-07T11:31:36","date_gmt":"2016-09-07T14:31:36","guid":{"rendered":"https:\/\/lavits.bemvindo.co\/estudo-de-princeton-expoe-vigilancia-descontrolada-dos-trackers-na-web\/"},"modified":"2022-05-19T17:27:18","modified_gmt":"2022-05-19T20:27:18","slug":"estudo-de-princeton-expoe-vigilancia-descontrolada-dos-trackers-na-web","status":"publish","type":"post","link":"https:\/\/lavits.org\/es\/estudo-de-princeton-expoe-vigilancia-descontrolada-dos-trackers-na-web\/","title":{"rendered":"Estudo de Princeton exp\u00f5e vigil\u00e2ncia de trackers na Web"},"content":{"rendered":"

Os pesquisadores Steven Englehardt e Arvind Narayanan, da Universidade de Princeton, publicaram no dia 18 de maio o \u201cestudo mais amplo e detalhado de monitoramento online<\/em> at\u00e9 a presente data<\/a>\u201d (paper<\/a>).<\/p>\n

Usando a ferramenta livre \/ de c\u00f3digo aberto OpenWPM<\/a>, (um \u201cframework<\/em> para medi\u00e7\u00f5es de privacidade na web), eles conduziram uma s\u00e9rie de experimentos nos primeiros 1 milh\u00e3o de sites do ranking de popularidade da Alexa, e encontraram alguns resultados j\u00e1 esperados \u2014 concentra\u00e7\u00e3o de um pequeno n\u00famero de gigantes mas uma \u201ccauda longa\u201d de milhares detrackers<\/em>, preval\u00eancia desses mecanismos em sites de not\u00edcia, efic\u00e1cia de extens\u00f5es e plugins<\/em>de bloqueio\u2026<\/p>\n

Mas Englehardt e Narayanan tamb\u00e9m fizeram algumas descobertas surpreendentes: a pr\u00e1tica comum de \u201csincroniza\u00e7\u00e3o de cookies<\/em>\u201d entre diferentes trackers<\/em> e a ado\u00e7\u00e3o de t\u00e9cnicas novas de fingerprinting<\/em> para identificar dispositivos.<\/p>\n

A capacidade de monitorar detalhadamente as a\u00e7\u00f5es das pessoas na Web, a pr\u00e1tica difundida de compartilhar e vender dados umas para as outras e a caracter\u00edstica desse mercado de possuir um pequeno n\u00famero de empresas que est\u00e3o presentes na maioria dos sites produzem um grave dano \u00e0 privacidade de quem acessa a Web, afetando tamb\u00e9m outros direitos fundamentais como a autodetermina\u00e7\u00e3o e a inviolabilidade da intimidade.<\/p>\n

Est\u00e1 tramitando na C\u00e2mara dos Deputados um Projeto de Lei que busca trazer garantias \u00e0 popula\u00e7\u00e3o brasileira e que j\u00e1 t\u00eam paralelos em mais de cem pa\u00edses<\/a> ao redor do mundo: uma lei que proteja os dados pessoais. Se aprovada da forma como foi proposto pelo Minist\u00e9rio da Justi\u00e7a, ela estabelecer\u00e1 claros limites em quais dados poder\u00e3o ser guardados e processados por essas empresas com o objetivo expl\u00edcito de proteger direitos fundamentais.<\/p>\n

Neste artigo, vamos ver as principais descobertas do estudo de Englehardt e Narayanane entender como o Projeto de Lei n\u00ba 5.276\/2016, resultado de duas consultas p\u00fablicas eencaminhado \u00e0 C\u00e2mara recentemente<\/a> pelo governo Dilma Rousseff antes da presidenta ser afastada, pode nos dar maior controle sobre a coleta e o tratamento dos dados pessoais por parte dos trackers<\/em>.<\/p>\n

Third parties e trackers: data is money, my friend<\/h2>\n

Antes de tudo, uma defini\u00e7\u00e3o: o estudo gira em torno das third parties<\/em>. Quando visitamos um determinado site, a first party<\/em> (\u201cprimeira pessoa\u201d), ele pode carregar recursos como scripts<\/em> e imagens de outros dom\u00ednios, as third parties<\/em> (\u201cterceiras pessoas\u201d).<\/p>\n

\"milhaodesites-trackers\"<\/a><\/p>\n

Muitos desses dom\u00ednios servem trackers<\/em>, enquanto outros s\u00e3o usados para fornecer imagens est\u00e1ticas (como o gstatic.com<\/code> da Google e o fbcdn.net<\/code> do Facebook). Estes conte\u00fados n\u00e3o s\u00e3o relevantes para os prop\u00f3sitos do estudo, que analisa aqueles que hospedam scripts<\/em> que rodam silenciosamente, detectam e comunicam \u00e0 \u201cbase\u201d informa\u00e7\u00f5es sobre a visita. Para separar o joio do trigo, o estudo usou listas usadas por plugins<\/em> de privacidade, curadas e alimentadas com novos endere\u00e7os de trackers<\/em> conforme eles s\u00e3o descobertos.<\/p>\n

Para aprender mais sobre esse monitoramento funciona e como se defender dele, veja nosso artigo Trackers: os grandes stalkers da Web<\/a>.<\/p>\n

Descobertas do estudo<\/h2>\n

Embora tenham sido registradas 81.000 third parties<\/em>, um pequeno grupo delas est\u00e1 presente em muitos sites<\/strong>, enquanto a maioria foi detectada em pouqu\u00edssimos sites (o \u201cefeito cauda longa<\/a>\u201c). Isso confirma as impress\u00f5es de observadores da ind\u00fastria de que h\u00e1 umagrande concentra\u00e7\u00e3o<\/strong> de grandes empresas do ramo que domina a maior parte do mercado \u2014 somente 123 dessas 81 mil est\u00e3o presentes em mais de 1% dos sites, e todas as cinco maiores percentem \u00e0 Google. \u201cDe fato, a Google, o Facebook e o Twitter s\u00e3o as \u00fanicas entidades com third parties<\/em> presentes em mais de 10% dos sites\u201d, dizem os autores.<\/p>\n

Al\u00e9m disso, o estudo detectou que a maioria dos\u00a0trackers<\/em> faz\u00a0sincroniza\u00e7\u00e3o de cookies <\/em><\/strong>(cookie syncing<\/em>), comunicando a outros\u00a0trackers<\/em> os ID\u2019s usados internamente para identificar visitantes. Esta descoberta sugere que as empresas de tracking<\/em> trocam grandes volumes de seus dados entre si<\/strong> por fora da intera\u00e7\u00e3o usu\u00e1rio(a)↔website .<\/p>\n

Outra descoberta pouco \u00f3bvia \u00e9 que a ind\u00fastria de monitoramento\u00a0online<\/em> pode ser umabarreira para a ampla ado\u00e7\u00e3o de HTTPS<\/strong>. Como os navegadores alertam sobre \u201cconte\u00fado misto\u201d quando um site em HTTPS carrega recursos via HTTP desprotegido, e muitos trackers<\/em>n\u00e3o oferecem por HTTPS (ou n\u00e3o por padr\u00e3o), h\u00e1 um desincentivo para sites adotarem essa vital tecnologia para que suas visitas n\u00e3o sejam recebidas com um \u201ccadeado quebrado\u201d. Al\u00e9m dos riscos de intercepta\u00e7\u00e3o, um outro agravante \u00e9 que tais scripts<\/em> de monitoramento e seuscookies<\/em>, quando trafegam via HTTP, podem ser usados por ag\u00eancias de intelig\u00eancia<\/a> e crackers<\/a>para te identificar<\/a> e at\u00e9 invadir<\/a>.<\/p>\n

Sites de not\u00edcias e outros conte\u00fados editoriais s\u00e3o os mais monitorados<\/strong>. J\u00e1 sites de universidades, organiza\u00e7\u00f5es governamentais e sem fins lucrativos s\u00e3o os que menos instalam trackers<\/em>. Uma hip\u00f3tese levantada pelos autores \u00e9 de que os \u00faltimos apresentam menos monitoramento (e an\u00fancios) pois t\u00eam financiamento externo, enquanto os primeiros s\u00e3o obrigados a monetizar suas visitas<\/strong> (e, crescentemente, limitar visitantes que usam ad blockers<\/em>).<\/p>\n

Por que querem meus dados?<\/h2>\n
\n
\n

<\/a><\/p>\n

O caminho dos an\u00fancios desde os marketeiros at\u00e9 voc\u00ea. Cada uma dessas empresas ajuda a definir quais voc\u00ea vai ver ao acessar uma p\u00e1gina web.<\/p>\n<\/div>\n<\/div>\n

\u201cInforma\u00e7\u00f5es pessoais s\u00e3o o novo petr\u00f3leo, o combust\u00edvel vital da nossa economia digital\u201d, como disse Andrew Keen<\/a> para a CNN<\/a>. A vasta gama de tipos de dados que os aplicativos e dispositivos emitem constantemente \u2014 localiza\u00e7\u00e3o, rela\u00e7\u00f5es sociais, h\u00e1bitos de consumo e comportamento \u2014 s\u00e3o o que mant\u00e9m o capital girando para uma grande e crescente parcela de empresas de software<\/em>.<\/p>\n

O modelo de neg\u00f3cios adotado nos prim\u00f3rdios da rede, com servi\u00e7os pagos diretamente pelo cliente ou financiados por universidades e empresas, chegou ao p\u00fablico geral como o que os especialistas em privacidade e seguran\u00e7a da informa\u00e7\u00e3o chamam de modelo de neg\u00f3cios da vigil\u00e2ncia<\/em>: a empresa oferece servi\u00e7os \u201cgratuitamente\u201d, e paga suas contas e funcion\u00e1rios(as) vendendo as informa\u00e7\u00f5es pessoais que conseguem coletar para quem se interessa.<\/p>\n

Esses dados possuem alto valor para uma s\u00e9rie de outras<\/em> empresas que se beneficiam em conhecer detalhes sobre a vida das pessoas: servi\u00e7os de cr\u00e9dito que querem avaliar seu risco de dar um calote, seguros de sa\u00fade que podem us\u00e1-los para determinar o valor do plano, lojas e empreendimentos que querem entender o comportamento do mercado e anunciar diretamente para um p\u00fablico-alvo espec\u00edfico\u2026<\/p>\n

Para intermediar a coleta de dados nos sites<\/em> e aplicativos e seu uso final pelo mercado, surgiu a ind\u00fastria das data brokers<\/em> (\u201ccorretores de dados\u201d). Gigantes como a Acxiom e a Experian possuem sedes ao redor do mundo, onde compram e vendem bancos de dados sobre popula\u00e7\u00f5es inteiras.<\/p>\n

O ramo \u00e9 t\u00e3o grande que muitas vezes h\u00e1 mais intermedi\u00e1rios na cadeia: centenas de outras empresas pequenas e grandes comercializam entre si bancos de dados para integrar com sua vasta cole\u00e7\u00e3o \u2014 a Experian, que comprou a Serasa em 2007, possui terabytes<\/em> de informa\u00e7\u00e3o sobre o p\u00fablico brasileiro e petabytes<\/em> a n\u00edvel global.<\/p>\n

\n

\"databrokers_collection_preview\"<\/a><\/p>\n

Tradu\u00e7\u00e3o do infogr\u00e1fico produzido pela Federal Trade Commission dos Estados Unidos em sua an\u00e1lise sobre a a atualiza\u00e7\u00e3o dos data brokers. Feito para o artigo Data Brokers e Profiling: vigil\u00e2ncia como modelo de neg\u00f3cios<\/a>.<\/p>\n<\/div>\n

Algumas das data brokers<\/em> que coletam dados na Internet segmentam internautas com base no seu comportamento online<\/em>, justamente atrav\u00e9s dos trackers<\/em> estudados pela dupla de pesquisadores de Princeton. No Brasil, por exemplo, uma empresa chamada Navegg Analytics busca \u201centender o comportamento do consumidor\u201d, e baseia sua segmenta\u00e7\u00e3o da popula\u00e7\u00e3o em um estudo de 6 anos conduzido em mais de 100 mil sites. Seus scripts<\/em> est\u00e3o presentes na maioria dos portais de not\u00edcias e em v\u00e1rios outros sites voltados para o p\u00fablico brasileiro.<\/p>\n

\n

<\/p>\n

Algumas categorias em que a Navegg associa a voc\u00ea a cada visita em um site que use seus third-party scripts. Se voc\u00ea n\u00e3o tem tempo para ler nosso artigo sobre profiling<\/a>,TEM<\/em> QUE ao menos ler o guia ilustrado<\/a>.<\/p>\n<\/div>\n

E agora, quem poder\u00e1 nos defender?<\/h2>\n

\"tumblr_o85mhnFEZ51vwx6peo1_1280\"<\/a><\/p>\n

O mercado de coleta e tratamento de dados em escala massiva, na aus\u00eancia de leis que o limitem e por ser invis\u00edvel para quem navega no\u00a0site<\/em> (tanto na coleta quanto no uso), se tornou definitivamente um monstro.<\/p>\n

Proibi-lo completamente, no entanto, \u00e9 desproporcional e eliminaria uma op\u00e7\u00e3o leg\u00edtima de usar servi\u00e7os gratuitos que, al\u00e9m de manterem-se financeiramente com o tratamento de dados, os usem para aprimorar sua interface e seu servi\u00e7o \u2014 por exemplo coletando estat\u00edsticas de uso de seus softwares para entender quais entraves as pessoas enfrentam.<\/p>\n

O que precisamos para tornar essa ind\u00fastria mais justa e saud\u00e1vel s\u00e3o ferramentas para que as pessoas possam exercer controle sobre que dados v\u00e3o compartilhar e entendendo o que est\u00e1 em jogo ap\u00f3s suas escolhas.<\/p>\n

Prote\u00e7\u00f5es legais aos nossos dados com o Projeto de Lei 5276\/2016, al\u00e9m de eficazes no cen\u00e1rio atual de trackers<\/em>, protegem todos<\/em> os dados, quer sejam visitas em sites, <\/em>quer sejam suas compras no supermercado. Ele tamb\u00e9m traz limites claros n\u00e3o s\u00f3 para o momento da coleta como o de tratamento (pense em algoritmos<\/em>) e o repasse para o poder p\u00fablico ou empresas dentro e fora do pa\u00eds. O PL tamb\u00e9m obriga as empresas a seguir padr\u00f5es e boas pr\u00e1ticas de seguran\u00e7a para o armazenamento, a transmiss\u00e3o e a anonimiza\u00e7\u00e3o (que ser\u00e3o atualizados conforme as tecnologias de prote\u00e7\u00e3o e de quebra evoluem).<\/p>\n

O PL 5276\/2016 protege seus dados<\/h2>\n

\"tumblr_o8d35aEnVm1vwx6peo1_500\"<\/a><\/p>\n

Segundo Mar\u00edlia Monteiro, pesquisadora do Privacidade Brasil e mestranda em Pol\u00edticas P\u00fablicas na Hertie School of Governance, \u201ch\u00e1 pouca, sen\u00e3o nenhuma regra que regule a atividade dos chamados data brokers<\/em> no Brasil. Para aquelas que lidam com informa\u00e7\u00f5es de cr\u00e9dito, algumas balizas est\u00e3o presentes nas regras consumeristas, mas isso est\u00e1 limitando a alguns agentes da cadeia de informa\u00e7\u00f5es de cr\u00e9dito e n\u00e3o de forma sistem\u00e1tica e especializada\u201d.<\/p>\n

N\u00f3s da Coding Rights, junto com mais 40 entidades da academia e da sociedade civil organizada manifestamos interesse na chegada do Projeto de Lei de Prote\u00e7\u00e3o de Dados Pessoais \u00e0 C\u00e2mara dos Deputados. O PL n\u00ba 5.276\/2016, como escrevemos em uma carta aberta<\/a>, \u201cfoi constru\u00eddo de forma colaborativa com amplo engajamento social por meio de duas consultas p\u00fablicas realizadas<\/a> no fim do ano de 2010 e come\u00e7o do ano de 2015, a partir da iniciativa do Minist\u00e9rio de Justi\u00e7a em colocar o texto do ent\u00e3o Anteprojeto de Lei de Prote\u00e7\u00e3o de Dados Pessoais sob escrut\u00ednio p\u00fablico nas plataformas online<\/em> Cultura Digital<\/a> ePensando o Direito<\/a>\u201c.<\/p>\n

O PL de Prote\u00e7\u00e3o de Dados vem preencher uma lacuna na nossa legisla\u00e7\u00e3o: prote\u00e7\u00f5es semelhantes j\u00e1 existem na maioria das democracias mais fortes do mundo, como a Diretiva de Prote\u00e7\u00e3o de Dados que orienta as leis de cada pa\u00eds da Uni\u00e3o Europeia, ou as regulamenta\u00e7\u00f5es espec\u00edficas por setor que os EUA adotam em vez de uma lei geral. Mar\u00edlia Monteiro, que era coordenadora de Consumo e Sociedade da Informa\u00e7\u00e3o da Senacon\/MJ e participou ativamente da elabora\u00e7\u00e3o do debate p\u00fablico, afirma que \u201co PL 5.276\/16 traz padr\u00f5es m\u00ednimos internacionalmente reconhecidos que criam o dever de transpar\u00eancia para as data brokers<\/em>. Os princ\u00edpios, direitos e garantias presentes no projeto permitiriam, por exemplo, que os usu\u00e1rios acessem as informa\u00e7\u00f5es agregadas pelas data brokers<\/em>, optem pela n\u00e3o coleta, compartilhamento e divulga\u00e7\u00e3o de seus dados pessoais e que corrijam as informa\u00e7\u00f5es a seu respeito\u201d.<\/p>\n

\n
\n
\n
\n

Ver imagem no Twitter<\/span><\/a><\/p>\n

\n
\"Ver<\/a><\/div>\n<\/div>\n<\/div>\n<\/article>\n
\n
\n
\n
\n
<\/div>\n

Seguir<\/a><\/span><\/p>\n<\/div>\n

\"\"<\/span>CodingRights<\/span> @CodingRights<\/span><\/a><\/div>\n<\/div>\n
\n

Mais de cem pa\u00edses t\u00eam uma lei de prote\u00e7\u00e3o de dados pessoais. #<\/span>ProtejamMeusDados<\/span><\/a>, @<\/span>CamaraDeputados<\/span><\/a>@<\/span>SenadoFederal<\/span><\/a>!<\/p>\n