Google compartilhou meu número de telefone

 (danq.me)
1 pontos por GN⁺ 2025-05-27 | 1 comentários | Compartilhar no WhatsApp
  • Recentemente, usuários do Three Rings ligaram repetidamente para o autor e, ao investigar a causa, ele descobriu que seu número de celular pessoal estava exposto nos resultados de busca do Google
  • Esse número havia sido enviado no passado durante o processo de verificação de identidade do Google e foi adicionado ao Google Business Profile nos resultados de busca sem consentimento
  • O autor removeu imediatamente o número do perfil comercial para interromper a exposição, mas não obteve explicações sobre o motivo da alteração
  • Recentemente, após também sofrer um vazamento de informações pessoais em outro banco, cresce sua desconfiança sobre a dificuldade de proteger dados pessoais
  • O caso sugere tanto a importância do consentimento do usuário quanto o fato de que erros do usuário ou janelas de consentimento indiscriminadas podem acelerar vazamentos de PII

Visão geral do incidente

  • No começo deste mês, o autor recebeu uma ligação de um usuário do software de gestão de voluntários Three Rings, que ele fundou
  • Embora suporte por telefone não fosse oferecido oficialmente, ele já havia retornado ligações diretamente a usuários no passado
  • Por isso, ele achou que alguns usuários poderiam ter salvo seu número de celular pessoal

Ligações repetidas e a dúvida

  • Depois da terceira ligação semelhante no mesmo mês, o autor passou a suspeitar de onde seu número poderia estar publicado
  • Na quarta ligação, ao dizer que não sabia o nome da organização do usuário, perguntou onde ele havia encontrado o número
  • A outra pessoa respondeu: "Aparece quando você pesquisa 'Three Rings login' no Google"

Exposição de informações pessoais nos resultados de busca do Google

  • Ao pesquisar por conta própria, ele confirmou que o Google Business Profile da Three Rings CIC mostrava seu contato pessoal
  • Qualquer pessoa podia ligar diretamente para seu número pessoal usando o botão de chamada
  • Como ele quase nunca usa a busca do Google no dia a dia, talvez nunca tivesse percebido isso sem o aviso de outra pessoa

Como o Google tratou os dados pessoais

  • O autor já havia fornecido esse número no passado durante o processo de verificação de identidade do Google, mas não consentiu com sua divulgação pública
  • Recentemente, o Google passou a exibir o número no Google Business Profile por conta própria, sem que ficasse claro quando ou por quê
  • Quando o autor removeu o número do perfil comercial, a exposição foi interrompida imediatamente
  • Porém, ao mesmo tempo em que o número foi removido, a mensagem "O número de telefone foi alterado pelo Google" também desapareceu, e ele não conseguiu descobrir o motivo nem o histórico da mudança

Caso recente em outra instituição financeira e ansiedade do usuário

  • No mês passado, um banco (Halifax) enviou por engano informações de contrato de crédito do autor para outra pessoa sem relação com ele
  • Após dois episódios consecutivos de vazamento de dados pessoais, o autor passou a suspeitar se não teria marcado por engano algum pop-up de consentimento
  • Ele ironiza o fato de que avisos de consentimento de privacidade são, na prática, difíceis de entender e favorecem cliques automáticos no botão “aceito”

Resumo e implicações

  • O caso mostra que violações de privacidade inesperadas podem acontecer com qualquer pessoa
  • A confiabilidade para o usuário no uso e na divulgação de dados pessoais por grandes plataformas, como Google e instituições financeiras, volta a ser destacada
  • O risco de vazamento de PII (informações pessoalmente identificáveis) continua devido a erros do usuário, descuido ou sincronização arbitrária do sistema
  • Continua existindo uma distância entre o significado de consentimento e as práticas reais de tratamento de dados
  • Empresas de tecnologia e usuários precisam de orientações mais transparentes e acessíveis para gerenciar informações pessoais com segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2025-05-27
Comentários do Hacker News

  • Apontam que o número de telefone está publicado no site e o mesmo número também aparece no perfil de desenvolvedor do Google Play. A opinião é que, em ambos os casos, parece ser informação divulgada pelo próprio autor. Se a pessoa usa o mesmo número para fins pessoais e comerciais, esse resultado parece natural. A princípio parecia que o Google havia mudado o número de privado para público de forma indevida, mas explicam que, no Google Play, existe uma exigência de informar um número para que clientes possam entrar em contato

    • Diz ser o autor do texto e afirma que não deveria haver número de telefone no site, e que ele próprio não conseguiu encontrá-lo. Lamenta que o número tenha ficado visível no perfil de desenvolvedor do Google Play e agradece por terem avisado

  • Compartilha uma experiência de quando comprou um celular Samsung: ao receber ligações de números desconhecidos, o aparelho mostrava o nome da pessoa. A suspeita é que a informação vinha de bancos de dados de contatos de outras pessoas. Um dia, um vizinho ligou e, mesmo sem estar salvo nos contatos, apareceu como "NOME GRINDER", porque outro usuário o havia salvo assim. O vizinho era assumido no bairro, mas trabalhava com vendas em uma imobiliária e ficou muito incomodado com essa exposição. Também comenta que ele nem usa esse app há 7 anos

    • Reagem dizendo ser difícil acreditar que isso realmente aconteça. Parece tão perigoso que dá para imaginar situações muito piores do que esse exemplo

    • Acrescentam que alguns celulares Samsung vêm com truecaller ou callapp embarcados, o que pode causar esse tipo de situação

  • Compartilha a experiência de administrar uma empresa na Holanda, onde o Google atualizou o telefone da empresa com base no número de registro da câmara de comércio. A empresa não oferece suporte por telefone, mas por exigência legal o número precisa constar no registro. Eles cadastraram um número VoIP que cai diretamente na caixa postal, com uma mensagem informando que não há atendimento telefônico. Mesmo removendo o número do Google Business Profile, o Google volta a adicioná-lo automaticamente de tempos em tempos

  • Opinam que alguém pode simplesmente ter adicionado ao perfil da empresa um número que possuía, achando que isso seria útil

    • Destacam que no screenshot está escrito claramente "O número foi atualizado pelo Google", mostrando que não foi inserido por um usuário

    • Consideram um erro grave que qualquer pessoa possa atualizar livremente o número de um perfil comercial no Google e que o Google publique isso imediatamente sem sequer pedir autorização ao dono do número

  • Diz que teve experiência parecida e recebeu uma ligação às 2 da manhã. Na época, administrava um serviço de recrutamento na empresa anterior e publicou uma vaga para desenvolvedor Python em um projeto seu, mas não havia como desativar a exibição do contato. Por causa disso, alguém desconhecido ligou várias vezes por volta das 5 da manhã perguntando como se tornar programador. Lembra que, na primeira ligação, ficou tão desconcertado que até deu conselhos úteis. Hoje, para se proteger desse tipo de vazamento, usa 4 números diferentes separados para uso pessoal, profissional e outros fins

    • Como disseram que, estranhamente, todas as ligações vinham às 5 da manhã, alguém aponta que provavelmente vinham da mesma região e que isso coincidia com o horário de expediente por causa do fuso horário

  • Explicam os danos que ocorrem quando o Google não é processado. Na Alemanha, a lieferando (do grupo Takeaway.com) registrava em massa domínios como "nome-do-restaurante-cidade.de", redirecionando tudo para seu próprio call center, e também alterava os perfis comerciais no Google para si. Depois, ligavam para os donos dos restaurantes dizendo que eles não conseguiam mais ser encontrados no Google e pressionavam pela assinatura de um contract. Clientes que tentavam pedir pelo call center também recebiam orientações erradas, causando grandes prejuízos ao negócio. Dizem que havia mais de 130 mil desses domínios-fantasma e que a própria pessoa ajudou a fornecer datasets para donos de restaurantes afetados. Mas, como o prejuízo por caso não era tão grande, processar era difícil e, diferente dos EUA, não se tratava de class action, então a questão não avançava judicialmente. Criticam que o Google sabe da situação e se protege de responsabilidade por meio de sua estrutura de holding gigante

    • Mencionam que esse tipo de tática já era amplamente usada no BlackHatWorld há 15 anos, e comentam com ironia como agora empresas financiadas por VC passaram a usá-la

    • Rebatem dizendo que, mais do que um problema do Google, a questão central é que uma empresa que pratica intimidação está conseguindo evitar ações judiciais

    • Perguntam se, no Google Maps, basta registrar um domínio para tomar facilmente o controle de qualquer empresa, ou se o Google não tem algum mecanismo específico para lidar com disputas de propriedade

    • Perguntam se existe alguma reportagem decente na imprensa alemã sobre esse caso

    • Enfatizam como é assustador que o ecossistema criado pelo Google seja tão fácil de usar como arma contra pequenos empresários

  • Apontam que a história apresentada no texto principal talvez não seja, na prática, a explicação mais adequada. Só nos comentários já existem pelo menos três explicações alternativas. Sugerem que, ao baixar os dados da conta pelo Takeout, seria possível verificar quais informações o Google possui e para que as usa

    • Mas explicam que o Google não oferece Takeout para Business Profile e que empresas muitas vezes nem são protegidas por leis de privacidade como a GDPR, então grandes empresas como o Google frequentemente nem disponibilizam ferramentas convenientes como exportação de dados

  • Compartilha que seu número pessoal de celular foi exposto na Google Play Store. Depois de mais de um mês tentando validar um número comercial sob a ameaça de suspensão da conta caso isso não fosse feito, acabou sendo forçado a informar o número pessoal

    • Diz, como publisher independente de app que passou por algo semelhante, que era desconfortável ter seu número de telefone exposto ao lado do app mesmo sem oferecer suporte ao cliente. Considera essa política prejudicial para desenvolvedores indie de apps. Por isso, decidiu remover o app da store

  • Compartilham que qualquer pessoa pode editar o telefone de uma empresa pelo Google Search. Parece surpreendente, mas é real: exemplo de edição do telefone da Three Rings CIC

    • Explicam que qualquer usuário do Google Maps pode sugerir alterações, mas que as informações enviadas são analisadas antes de serem aplicadas. É possível reportar fechamento de empresa, mudança de endereço, alteração de horário de funcionamento e vários outros itens. Isso também vale para pontos de ônibus, estações de trem, locais históricos etc. Informam que esse sistema é baseado em "crowdsourcing". Compartilham também o guia do Google Business Profile e o link de cadastro do perfil comercial

  • Comentam que, embora o número tenha sido borrado na imagem do texto principal, ainda dá para ver os dígitos

    • O dono do blog responde diretamente, dizendo que no screenshot real foi usado um "número fictício para dramaturgia" oficialmente reservado pela Ofcom, então não há problema de segurança. Compartilha a referência dos números oficiais para dramaturgia

    • Comentam que o blur foi fraco e o número continua legível, e dão como exemplo a realidade atual em que tecnologias como IA conseguem recuperar quase totalmente informações mesmo de imagens bem degradadas: imagem de exemplo

    • Observam que o próprio número é 07700 987654, o que já indica que se trata de um número fictício

    • Dizem que um simples efeito de blur não protege bem informações sensíveis e que especialistas recomendam formas mais seguras de ocultação. Especialmente numa imagem como esta, em que nem é preciso tecnologia avançada para identificar o número. Se o motivo do blur era proteger a identidade, aconselham atualizar a imagem imediatamente

    • Alertam que, recentemente, crawlers de IA também estão extraindo texto de imagens para montar datasets, então imagens com blur malfeito também correm risco de entrar como dados para LLMs