Vigilância da tecnologia de anúncios e vigilância governamental muitas vezes são a mesma vigilância
(eff.org)- Enquanto os EUA não têm uma lei federal abrangente de privacidade, dados pessoais coletados por apps de celular estão passando pela indústria de publicidade direcionada e virando ferramenta de vigilância do governo
- O governo pode comprar e acessar de corretores de dados até mesmo dados de usuários que originalmente exigiriam ordem judicial ou mandado, borrando a fronteira entre vigilância corporativa e vigilância estatal
- Uma investigação do Wall Street Journal confirmou que a Near Intelligence comprou dados de mais de 1 bilhão de dispositivos de corretores de dados para publicidade e firmou contratos para repassá-los a agências militares e de inteligência federais por meio de contratadas do governo
- Dados de localização podem ser usados para rastrear participantes de protestos, visitantes de instalações específicas e contatos entre jornalistas e denunciantes, ampliando os riscos de retaliação e falsos positivos para além da invasão de privacidade
- As soluções são aprovar o Fourth Amendment is Not For Sale Act, que impede o governo de comprar dados que não poderia obter sem mandado, e uma lei abrangente de privacidade de dados do consumidor
Como dados de publicidade viram vigilância governamental
- Os EUA não têm uma legislação federal abrangente de privacidade, e a indústria de publicidade direcionada funciona com base em dados pessoais coletados por apps de celular
- O ponto central do enfraquecimento da fronteira entre vigilância corporativa e governamental está na estrutura de compra de dados
- A menos que os dados estejam totalmente criptografados ou armazenados localmente pelo próprio usuário, o governo pode obtê-los de empresas de comunicação e computação
- Tradicionalmente isso exigia ordem judicial, mas agora aumentam os casos em que o governo compra dados diretamente de corretores que os adquiriram do setor de adtech
Caso Near Intelligence
- A investigação do Wall Street Journal revelou a estrutura de negociação de dados da empresa Near Intelligence
- A Near Intelligence compra de corretores dados de pessoas e dispositivos que normalmente são vendidos a anunciantes
- A empresa afirmou ter comprado dados sobre mais de 1 bilhão de dispositivos
- Firmou contratos com contratadas do governo, e esses dados foram repassados a agências militares e de inteligência federais
- O governo também pode comprar por esse caminho acesso a dados de localização, que normalmente exigiriam apresentação de justificativa robusta e mandado
- Muitos desenvolvedores de apps para smartphone, em busca de receita, tentam vender dados de usuários a quem oferecer o maior valor, e entre os compradores pode estar o governo
Danos que o rastreamento de localização sem mandado pode causar
- A polícia pode usar esse tipo de ferramenta de vigilância para identificar os dispositivos de pessoas que participaram de protestos e segui-las até suas casas, transformando-as em alvo de vigilância adicional, assédio ou retaliação
- Também é possível rastrear apenas dispositivos que estiveram dentro de determinados locais
- escritórios de advogados de imigração
- clínicas de saúde reprodutiva
- instalações de saúde mental
- Encontros secretos entre jornalistas e suas fontes denunciantes também podem ser monitorados com esse tipo de ferramenta
- Há casos em que agentes da lei abusaram de tecnologias de vigilância por motivos pessoais maliciosos e uso indevido
Regiões com policiamento excessivo e risco de falsos positivos
- Esse tipo de vigilância torna mais vulneráveis à suspeita policial as pessoas que vivem e trabalham em áreas com forte atividade policial
- Mesmo que alguém só estivesse ao lado de uma pizzaria onde houve um assalto, ou fazendo uma pausa para o café perto de um grafite, seu dispositivo pode ser classificado como próximo à cena do crime e virar alvo de vigilância adicional
Fog Data Science e pressão por legislação
- O caso da Near Intelligence surgiu um ano depois de a EFF investigar a Fog Data Science
- A Fog Data Science fornecia a autoridades estaduais e locais acesso a informações de localização precisas e persistentes de centenas de milhões de americanos
- Esses dados eram coletados por apps de smartphone e depois agregados por corretores de dados opacos
- O acesso era fácil e muitas vezes ocorria sem mandado
- O principal ponto que o Congresso precisa fechar é a brecha dos corretores de dados
- O Fourth Amendment is Not For Sale Act é um projeto bipartidário que impediria o governo dos EUA de comprar dados que originalmente exigiriam mandado
- A Foreign Intelligence Surveillance Act Section 702 estava prevista para expirar em dezembro de 2023, e havia a oportunidade de incluir restrições a corretores de dados na legislação de renovação
- O Congresso e os governos estaduais também precisam aprovar uma lei abrangente de privacidade de dados do consumidor
- Se as empresas coletarem menos dados dos usuários, também diminuirá a quantidade de dados que o governo pode comprar delas
- É necessária pressão institucional para impedir que o governo contorne, por meio de compra, exigências de mandado para obter informações
1 comentários
Opiniões no Hacker News
Concordo com a preocupação do texto, mas acho que também deveria haver pressão para impedir que operadoras móveis vendam dados de localização.
Apontar o dedo para desenvolvedores de apps de smartphone também é válido, mas ISPs conseguem saber a localização mesmo sem smartphone e, na prática, também precisam poder reportá-la legalmente (https://en.wikipedia.org/wiki/Communications_Assistance_for_... etc.).
Fico me perguntando se a EFF considera que tentativas de bloquear esta última via por legislação já são inúteis.
https://www.eff.org/issues/cell-tracking
Também deveríamos impedir que bloqueiem os dispositivos que as pessoas “possuem”, impossibilitando o uso de contramedidas.
O uso privado desses dados é tão preocupante quanto o uso pelo governo, talvez até mais. O Estado, pelo menos, muitas vezes ainda está sujeito a responsabilização democrática.
Na época, minha empresa tinha relações estreitas com operadoras móveis dos EUA e criava principalmente apps white-label sob a justificativa de segurança familiar. Só que muitos usuários estavam mais interessados na localização de cônjuges ou parceiros do que na dos filhos.
Mais ou menos na mesma época surgiu o OAuth 1a, e pensei que seria uma boa usar essa relação para oferecer uma plataforma que vendesse localização a desenvolvedores de apps com base em consentimento. Também pretendia incluir muitos recursos de privacidade.
No fim, só um desenvolvedor de app teve algum sucesso, e agregadores menos preocupados com privacidade fizeram parcerias com a geração seguinte de desenvolvedores de apps, acabando com o futuro do produto. As lembranças são divertidas.
Pelo que entendo, uma chamada VoIP normalmente usa SIP para chamar a outra ponta (parcialmente protegido), depois ICE/STUN/TURN para que os dois lados encontrem a rota mais direta possível, e então troca o fluxo de voz de fato.
Os clientes simplesmente não criptografam o fluxo de voz? Ou a operadora intercepta tudo depois do primeiro salto SIP, como num ataque man-in-the-middle? Isso não parece compatível com um modelo de vigilância somente leitura em que “um tap de hardware ou uma porta espelhada de switch/roteador entrega uma cópia dos dados de rede a uma sonda IP dedicada”.
Pode soar como culpar a vítima. Ainda assim, existe a opção de desligar o celular.
O conceito de AdInt também vale como referência. Ele foi mencionado em https://www.theregister.com/2023/09/16/insanet_spyware/, e o funcionamento aparece com mais detalhes na investigação original do jornal israelense Haaretz: https://archive.ph/7dbaV
Já tinha sido postado antes, mas recebeu só 2 comentários: https://news.ycombinator.com/item?id=37542097
Acho que isso vai terminar muito pior do que as pessoas imaginam.
Empresas se mancomunando com o governo não é a definição de fascismo? Se for, parece que é exatamente isso que estamos vendo agora.
Depois das revelações de Snowden, ficou claro que vários países vêm acumulando vulnerabilidades e construindo uma disparidade de poder digital que pode ser aplicada até a objetivos triviais.
O NSO Group mostrou que é possível invadir praticamente qualquer celular de forma silenciosa sem software adicional, e casos recentes como a investigação de assassinato Canadá/Índia sugerem que canais considerados seguros podem acabar sendo interceptados.
Hoje é difícil até imaginar do que a China ou a NSA são realmente capazes. Ainda evitamos uma catástrofe, mas há uma sensação cada vez mais forte de que as linhas da vigilância e do controle da internet já foram traçadas. Ainda assim, eu gostaria de ouvir uma defesa forte de uma interpretação mais otimista.
Em geral, fascismo é definido como nacionalismo autoritário, um líder ditatorial centralizador, militarismo, repressão forçada da oposição, subordinação dos interesses individuais em nome dos interesses da nação ou da raça e propaganda para sustentar a crença de que há uma hierarquia social natural.
O principal efeito dessas revelações foi a ascensão do populismo, mas, além de perder a Casa Branca por um mandato, não houve impacto duradouro, e essa reação populista foi basicamente sufocada.
Se você quer produzir mudança, talvez precise intervir mais cedo, quando só a margem lunática ainda está falando disso — por exemplo, 25 anos antes ou 25 anos depois — para conseguir desviar a próxima onda para outra direção.
Coisas como o Quest 3 e o Apple Vision são só o começo; quando todo mundo estiver andando por aí usando dispositivos de AR, não haverá como escapar da nuvem de pontos (point cloud).
Essas empresas terão um grafo em tempo real de onde todos estão e do que fazem em espaços públicos, incluindo pessoas que nunca usaram nenhum de seus serviços. Assustador.
Mas esse movimento parece mais próximo de empresas tentando controlar e substituir o governo de fato. É a ideia distorcida de capitalismo de stakeholders levada à sua conclusão natural.
O ponto central é a parte que diz: “Se os dados não estiverem totalmente criptografados ou armazenados diretamente localmente, o governo pode obtê-los junto a operadoras de telecomunicações ou empresas de computação. Tradicionalmente, era necessária uma ordem judicial, mas cada vez mais os governos simplesmente os compram de data brokers que compraram esses dados do setor de tecnologia de publicidade.”
Considero que o setor de tecnologia de publicidade também inclui Meta e Google. Mas alguns ficam irritados dizendo “a Meta na verdade não vende seus dados” ou “o Google na verdade não vende seus dados”.
Se essas empresas participam desse ecossistema e compram de data brokers, são tão ruins quanto eles. Meta e Google não deveriam fingir ser santos que não devem ser criticados, enquanto ganham a maior parte do dinheiro com essas relações e viabilizam a vigilância.
Por exemplo, tanto dmv.ca.gov quanto irs.gov usam Google em todo o site.
Quando o governo adota o Google como solução ao precisar de coisas como verificação de identidade e CAPTCHA, a estrutura desmorona.
Já ouvi alguém dizer que “uma democracia com tecnologia avançada é menos livre do que uma ditadura com tecnologia primitiva”.
Eles eram tecnologicamente mais atrasados do que a Suíça, a Nova Zelândia, a Dinamarca, a Estônia e a Irlanda de hoje, mas não eram mais livres [1].
[1] https://worldpopulationreview.com/country-rankings/freedom-i...
Não acho que meus dados pessoais sejam algo que a FTC deva “proteger” ou “regular”.
A única legislação eficaz seria proibir completamente todo o ponto de venda de dados pessoais de usuários sem consentimento explícito do usuário (por exemplo, confirmação de cookies), mas isso nunca vai acontecer.
E, se isso é tão descarado assim, também me pergunto por que ainda não houve processos. O governo dos EUA já está sujeito à Constituição e à Quarta Emenda. Não acho que precisemos de uma lei malfeita criada por pessoas que nem sabem o que estão fazendo.