1 pontos por GN⁺ 2023-10-23 | 1 comentários | Compartilhar no WhatsApp
  • Enquanto os EUA não têm uma lei federal abrangente de privacidade, dados pessoais coletados por apps de celular estão passando pela indústria de publicidade direcionada e virando ferramenta de vigilância do governo
  • O governo pode comprar e acessar de corretores de dados até mesmo dados de usuários que originalmente exigiriam ordem judicial ou mandado, borrando a fronteira entre vigilância corporativa e vigilância estatal
  • Uma investigação do Wall Street Journal confirmou que a Near Intelligence comprou dados de mais de 1 bilhão de dispositivos de corretores de dados para publicidade e firmou contratos para repassá-los a agências militares e de inteligência federais por meio de contratadas do governo
  • Dados de localização podem ser usados para rastrear participantes de protestos, visitantes de instalações específicas e contatos entre jornalistas e denunciantes, ampliando os riscos de retaliação e falsos positivos para além da invasão de privacidade
  • As soluções são aprovar o Fourth Amendment is Not For Sale Act, que impede o governo de comprar dados que não poderia obter sem mandado, e uma lei abrangente de privacidade de dados do consumidor

Como dados de publicidade viram vigilância governamental

  • Os EUA não têm uma legislação federal abrangente de privacidade, e a indústria de publicidade direcionada funciona com base em dados pessoais coletados por apps de celular
  • O ponto central do enfraquecimento da fronteira entre vigilância corporativa e governamental está na estrutura de compra de dados
    • A menos que os dados estejam totalmente criptografados ou armazenados localmente pelo próprio usuário, o governo pode obtê-los de empresas de comunicação e computação
    • Tradicionalmente isso exigia ordem judicial, mas agora aumentam os casos em que o governo compra dados diretamente de corretores que os adquiriram do setor de adtech

Caso Near Intelligence

  • A investigação do Wall Street Journal revelou a estrutura de negociação de dados da empresa Near Intelligence
  • A Near Intelligence compra de corretores dados de pessoas e dispositivos que normalmente são vendidos a anunciantes
    • A empresa afirmou ter comprado dados sobre mais de 1 bilhão de dispositivos
    • Firmou contratos com contratadas do governo, e esses dados foram repassados a agências militares e de inteligência federais
  • O governo também pode comprar por esse caminho acesso a dados de localização, que normalmente exigiriam apresentação de justificativa robusta e mandado
  • Muitos desenvolvedores de apps para smartphone, em busca de receita, tentam vender dados de usuários a quem oferecer o maior valor, e entre os compradores pode estar o governo

Danos que o rastreamento de localização sem mandado pode causar

  • A polícia pode usar esse tipo de ferramenta de vigilância para identificar os dispositivos de pessoas que participaram de protestos e segui-las até suas casas, transformando-as em alvo de vigilância adicional, assédio ou retaliação
  • Também é possível rastrear apenas dispositivos que estiveram dentro de determinados locais
    • escritórios de advogados de imigração
    • clínicas de saúde reprodutiva
    • instalações de saúde mental
  • Encontros secretos entre jornalistas e suas fontes denunciantes também podem ser monitorados com esse tipo de ferramenta
  • Há casos em que agentes da lei abusaram de tecnologias de vigilância por motivos pessoais maliciosos e uso indevido

Regiões com policiamento excessivo e risco de falsos positivos

  • Esse tipo de vigilância torna mais vulneráveis à suspeita policial as pessoas que vivem e trabalham em áreas com forte atividade policial
  • Mesmo que alguém só estivesse ao lado de uma pizzaria onde houve um assalto, ou fazendo uma pausa para o café perto de um grafite, seu dispositivo pode ser classificado como próximo à cena do crime e virar alvo de vigilância adicional

Fog Data Science e pressão por legislação

  • O caso da Near Intelligence surgiu um ano depois de a EFF investigar a Fog Data Science
    • A Fog Data Science fornecia a autoridades estaduais e locais acesso a informações de localização precisas e persistentes de centenas de milhões de americanos
    • Esses dados eram coletados por apps de smartphone e depois agregados por corretores de dados opacos
    • O acesso era fácil e muitas vezes ocorria sem mandado
  • O principal ponto que o Congresso precisa fechar é a brecha dos corretores de dados
  • O Congresso e os governos estaduais também precisam aprovar uma lei abrangente de privacidade de dados do consumidor
    • Se as empresas coletarem menos dados dos usuários, também diminuirá a quantidade de dados que o governo pode comprar delas
  • É necessária pressão institucional para impedir que o governo contorne, por meio de compra, exigências de mandado para obter informações

1 comentários

 
GN⁺ 2023-10-23
Opiniões no Hacker News
  • Concordo com a preocupação do texto, mas acho que também deveria haver pressão para impedir que operadoras móveis vendam dados de localização.
    Apontar o dedo para desenvolvedores de apps de smartphone também é válido, mas ISPs conseguem saber a localização mesmo sem smartphone e, na prática, também precisam poder reportá-la legalmente (https://en.wikipedia.org/wiki/Communications_Assistance_for_... etc.).
    Fico me perguntando se a EFF considera que tentativas de bloquear esta última via por legislação já são inúteis.

    • De forma alguma. A EFF também faz muito bom trabalho nessa direção.
      https://www.eff.org/issues/cell-tracking
    • Sim. Deveria haver regras para impedir a própria coleta desses dados.
      Também deveríamos impedir que bloqueiem os dispositivos que as pessoas “possuem”, impossibilitando o uso de contramedidas.
      O uso privado desses dados é tão preocupante quanto o uso pelo governo, talvez até mais. O Estado, pelo menos, muitas vezes ainda está sujeito a responsabilização democrática.
    • Criei um dos primeiros sistemas de agregação de localização. Talvez tenha sido o primeiro, mas é difícil ter certeza.
      Na época, minha empresa tinha relações estreitas com operadoras móveis dos EUA e criava principalmente apps white-label sob a justificativa de segurança familiar. Só que muitos usuários estavam mais interessados na localização de cônjuges ou parceiros do que na dos filhos.
      Mais ou menos na mesma época surgiu o OAuth 1a, e pensei que seria uma boa usar essa relação para oferecer uma plataforma que vendesse localização a desenvolvedores de apps com base em consentimento. Também pretendia incluir muitos recursos de privacidade.
      No fim, só um desenvolvedor de app teve algum sucesso, e agregadores menos preocupados com privacidade fizeram parcerias com a geração seguinte de desenvolvedores de apps, acabando com o futuro do produto. As lembranças são divertidas.
    • A frase dizendo que, depois da aprovação da CALEA, ela foi amplamente estendida para todo tráfego VoIP e de internet banda larga soa como se órgãos de aplicação da lei pudessem grampear livremente qualquer chamada VoIP. Fico curioso sobre como isso funciona na prática.
      Pelo que entendo, uma chamada VoIP normalmente usa SIP para chamar a outra ponta (parcialmente protegido), depois ICE/STUN/TURN para que os dois lados encontrem a rota mais direta possível, e então troca o fluxo de voz de fato.
      Os clientes simplesmente não criptografam o fluxo de voz? Ou a operadora intercepta tudo depois do primeiro salto SIP, como num ataque man-in-the-middle? Isso não parece compatível com um modelo de vigilância somente leitura em que “um tap de hardware ou uma porta espelhada de switch/roteador entrega uma cópia dos dados de rede a uma sonda IP dedicada”.
    • Também precisamos de melhor educação sobre o risco de carregar por aí um receptor GPS sempre ligado que transmite continuamente a localização a terceiros.
      Pode soar como culpar a vítima. Ainda assim, existe a opção de desligar o celular.
  • O conceito de AdInt também vale como referência. Ele foi mencionado em https://www.theregister.com/2023/09/16/insanet_spyware/, e o funcionamento aparece com mais detalhes na investigação original do jornal israelense Haaretz: https://archive.ph/7dbaV
    Já tinha sido postado antes, mas recebeu só 2 comentários: https://news.ycombinator.com/item?id=37542097

  • Acho que isso vai terminar muito pior do que as pessoas imaginam.
    Empresas se mancomunando com o governo não é a definição de fascismo? Se for, parece que é exatamente isso que estamos vendo agora.

    • Tipicamente não é o que se chamaria de fascismo, mas a intuição de que tudo isso provavelmente vai acabar mal tem grandes chances de estar certa.
      Depois das revelações de Snowden, ficou claro que vários países vêm acumulando vulnerabilidades e construindo uma disparidade de poder digital que pode ser aplicada até a objetivos triviais.
      O NSO Group mostrou que é possível invadir praticamente qualquer celular de forma silenciosa sem software adicional, e casos recentes como a investigação de assassinato Canadá/Índia sugerem que canais considerados seguros podem acabar sendo interceptados.
      Hoje é difícil até imaginar do que a China ou a NSA são realmente capazes. Ainda evitamos uma catástrofe, mas há uma sensação cada vez mais forte de que as linhas da vigilância e do controle da internet já foram traçadas. Ainda assim, eu gostaria de ouvir uma defesa forte de uma interpretação mais otimista.
    • É a primeira vez que ouço a definição “se governo e empresas se mancomunam, então é fascismo”.
      Em geral, fascismo é definido como nacionalismo autoritário, um líder ditatorial centralizador, militarismo, repressão forçada da oposição, subordinação dos interesses individuais em nome dos interesses da nação ou da raça e propaganda para sustentar a crença de que há uma hierarquia social natural.
    • Antigamente eu teria concordado que abusos assim terminariam mal, mas depois das revelações de Snowden e do Wikileaks vimos o quanto nossas instituições podem ser niilistas e malignas, e mesmo assim quase nada mudou.
      O principal efeito dessas revelações foi a ascensão do populismo, mas, além de perder a Casa Branca por um mandato, não houve impacto duradouro, e essa reação populista foi basicamente sufocada.
      Se você quer produzir mudança, talvez precise intervir mais cedo, quando só a margem lunática ainda está falando disso — por exemplo, 25 anos antes ou 25 anos depois — para conseguir desviar a próxima onda para outra direção.
    • A vigilância na web hoje vai parecer modesta perto do que está por vir.
      Coisas como o Quest 3 e o Apple Vision são só o começo; quando todo mundo estiver andando por aí usando dispositivos de AR, não haverá como escapar da nuvem de pontos (point cloud).
      Essas empresas terão um grafo em tempo real de onde todos estão e do que fazem em espaços públicos, incluindo pessoas que nunca usaram nenhum de seus serviços. Assustador.
    • Na verdade, é quase o contrário. Num governo fascista, eu esperaria que o Executivo controlasse de fato o mercado e as empresas.
      Mas esse movimento parece mais próximo de empresas tentando controlar e substituir o governo de fato. É a ideia distorcida de capitalismo de stakeholders levada à sua conclusão natural.
  • O ponto central é a parte que diz: “Se os dados não estiverem totalmente criptografados ou armazenados diretamente localmente, o governo pode obtê-los junto a operadoras de telecomunicações ou empresas de computação. Tradicionalmente, era necessária uma ordem judicial, mas cada vez mais os governos simplesmente os compram de data brokers que compraram esses dados do setor de tecnologia de publicidade.”
    Considero que o setor de tecnologia de publicidade também inclui Meta e Google. Mas alguns ficam irritados dizendo “a Meta na verdade não vende seus dados” ou “o Google na verdade não vende seus dados”.
    Se essas empresas participam desse ecossistema e compram de data brokers, são tão ruins quanto eles. Meta e Google não deveriam fingir ser santos que não devem ser criticados, enquanto ganham a maior parte do dinheiro com essas relações e viabilizam a vigilância.

    • O mais irritante ainda é que o governo usa esses serviços diretamente em seus próprios sites.
      Por exemplo, tanto dmv.ca.gov quanto irs.gov usam Google em todo o site.
      Quando o governo adota o Google como solução ao precisar de coisas como verificação de identidade e CAPTCHA, a estrutura desmorona.
  • Já ouvi alguém dizer que “uma democracia com tecnologia avançada é menos livre do que uma ditadura com tecnologia primitiva”.

    • A pessoa que disse isso era tola. Deveria ler sobre a vida no Egito Antigo, na Espanha da época da Inquisição, na Alemanha nazista e na RDA.
      Eles eram tecnologicamente mais atrasados do que a Suíça, a Nova Zelândia, a Dinamarca, a Estônia e a Irlanda de hoje, mas não eram mais livres [1].
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Não acho que meus dados pessoais sejam algo que a FTC deva “proteger” ou “regular”.
    A única legislação eficaz seria proibir completamente todo o ponto de venda de dados pessoais de usuários sem consentimento explícito do usuário (por exemplo, confirmação de cookies), mas isso nunca vai acontecer.
    E, se isso é tão descarado assim, também me pergunto por que ainda não houve processos. O governo dos EUA já está sujeito à Constituição e à Quarta Emenda. Não acho que precisemos de uma lei malfeita criada por pessoas que nem sabem o que estão fazendo.