Agora privacidade não significa mais nada; o que importa é o anonimato

 (servury.com)
6 pontos por GN⁺ 2025-12-21 | 2 comentários | Compartilhar no WhatsApp

> "Privacidade é marketing; anonimato é arquitetura."

  • Na indústria de tecnologia, ‘privacidade’ virou retórica de marketing, e a proteção real vem de projetos de sistema que garantem anonimato
  • A maioria dos serviços ‘centrados em privacidade’ coleta informações que identificam o usuário, como e-mail, telefone e documento, tornando impossível uma proteção realmente completa
  • Como mostra o caso da Mullvad VPN, só uma estrutura que não armazena nenhum dado do usuário consegue implementar anonimato resistente até à pressão legal
  • A Servury não armazena e-mail, IP nem informações de pagamento e opera contas apenas com credenciais aleatórias de 32 caracteres, assumindo a impossibilidade de recuperação de conta
  • Num cenário em que a internet se divide entre web autenticada e web anônima, serviços baseados em anonimato são essenciais para manter uma internet livre de vigilância

A ilusão da privacidade e a essência do anonimato

  • A maioria das empresas afirma “nós valorizamos sua privacidade”, mas ainda consegue identificar usuários por meio de e-mails de redefinição de senha, logs de IP e verificação por telefone
    • Essa estrutura não passa de ‘teatro performático’, não de proteção real
  • Em 2025, ‘privacidade’ virou um termo desgastado, usado como marketing até por serviços com exigência de documento oficial, coleta de logs e risco de vazamento de dados
  • O verdadeiro anonimato é uma decisão estrutural inegociável tomada no projeto, em que nem mesmo o operador consegue identificar o usuário ou cooperar com essa identificação

A estrutura típica do ‘teatro da privacidade’

  • Serviços comuns ‘centrados em privacidade’ exigem gradualmente e-mail, telefone e documento, e retêm todas as informações, além de manter logs
  • A política de “coletamos apenas o necessário” na prática é só uma promessa de ter todos os dados e tomar cuidado com eles
  • O ponto central do problema não é a má-fé, mas o fato de que reter dados por si só já é uma vulnerabilidade
    • Ênfase no princípio: “se você não possui o dado, ele não pode vazar”

O caso da Mullvad VPN

  • Em 2023, a polícia sueca fez uma busca e apreensão na sede da Mullvad VPN, mas não conseguiu obter nada porque não havia dados de usuários
  • A Mullvad autentica usuários apenas com um número de conta aleatório de 16 dígitos e não armazena e-mail, nome nem logs
  • Graças a essa estrutura, o anonimato é mantido em um nível em que nem mesmo exigências legais podem ser atendidas

O projeto de anonimato da Servury

  • Ao revisar quais informações mínimas eram necessárias para operar sua hospedagem em nuvem, a Servury concluiu que precisava armazenar apenas três tipos de dados
    • Credencial aleatória de 32 caracteres, saldo da conta e lista de serviços ativos
  • Itens que não são coletados: e-mail, nome, IP, informações de pagamento, padrões de uso, fingerprint do dispositivo e dados de localização
  • Não há recuperação de senha, verificação por e-mail nem recursos de segurança por número de telefone, porque tudo isso exigiria armazenar identidade
  • A impossibilidade de recuperar a conta é o preço do anonimato: se a credencial for perdida, o acesso à conta fica totalmente bloqueado

O significado de não haver recuperação de conta

  • Como a Servury não consegue saber quem é o usuário, nem a equipe de suporte pode recuperar a conta
    • Não são armazenados recibos de pagamento, IP, horário de cadastro nem qualquer outra informação
  • Esse inconveniente é uma funcionalidade intencional, que neutraliza ataques de engenharia social, phishing e solicitações governamentais
  • A própria estrutura de “não sabemos quem você é” é a linha de defesa fundamental da segurança

A armadilha do e-mail

  • O e-mail é apontado como a vulnerabilidade fundamental da identidade na internet moderna
    • Pode ser rastreado por estar ligado a telefone, método de pagamento e outros serviços
    • Confirmação de leitura, rastreamento de links e análise de metadados destroem qualquer anonimato completo
    • Há armazenamento permanente, possibilidade de convocação judicial e risco de vazamento
  • No momento em que um serviço exige e-mail, ele passa a projetar accountability em vez de anonimato
  • Bancos e serviços governamentais precisam verificar identidade, mas isso é explicitamente considerado desnecessário para serviços de nuvem, VPN e proxy

O papel do pagamento com criptomoedas

  • A Servury explica que aceita criptomoedas para evitar a infraestrutura de vigilância das redes de pagamento tradicionais
    • Pagamentos com cartão de crédito deixam registros permanentes de transação, armazenados por várias instituições
  • Criptomoedas não são perfeitas, mas enfraquecem a ligação entre pagamento e identidade
  • Pagamentos tradicionais como Stripe também são aceitos, mas fica claramente informado que eles não oferecem anonimato

O que anonimato não significa

  • Anonimato ≠ impunidade: atividades ilegais ainda podem ser investigadas, mas não é possível fornecer informações sobre o dono da conta
  • Anonimato ≠ segurança: se a credencial não for guardada com segurança, o próprio usuário cria o risco
  • Anonimato ≠ ausência de transparência: IP do servidor e conexões continuam expostos; eles apenas não ficam ligados à identidade pessoal
  • Anonimato ≠ confiança totalmente desnecessária: código aberto, auditorias e relatórios de transparência ainda são necessários, mas confiança zero absoluta é impossível
  • O ponto central é um projeto estrutural que minimiza os danos mesmo quando a confiança é quebrada

Os dois caminhos da internet

  • A internet está se dividindo entre web autenticada (authenticated web) e web anônima (anonymous web)
    • Web autenticada: nome real, identidade verificada, pagamentos rastreáveis e comportamento registrado em logs
    • Web anônima: como os dados não são coletados, ela se torna um espaço livre impossível de vigiar
  • Serviços que exigem identidade sem necessidade empurram os usuários para a web autenticada, enquanto
    serviços sem e-mail e baseados em criptomoedas preservam a web anônima
  • Isso não é uma forma de “esconder algo”, mas uma escolha para não aceitar a vigilância como padrão

Conclusão

  • “Privacidade é a promessa de proteger dados; anonimato é não ter os dados desde o início”
  • A Servury implementa isso com uma string de 32 caracteres, sem e-mail e sem identidade
  • Todo o resto que se apresenta como ‘privacidade’ acaba sendo apenas marketing

Leituras relacionadas

2 comentários

 
youknowone 2025-12-22

Publicidade
 
GN⁺ 2025-12-21
Comentários no Hacker News
  • No começo achei que era só um blog, mas na verdade era uma empresa
    Na página de privacidade deles, está dito que registram endereço IP, horário da requisição e user agent nos logs do servidor
    Dizem que isso é para segurança e depuração, mas parece uma grande diferença quando comparado à política de não registro de logs da Mullvad
    • Concordo totalmente. Acabei de desativar todos os logs do Apache e vou atualizar a página de privacidade dentro de uma hora
    • No início a ideia parecia boa, mas o que de fato está sendo oferecido não inspira confiança
      Se fosse uma nuvem realmente privada, não daria para vender como assinatura; no fim, teria de ser um ambiente bare metal
    • Fica ainda mais estranho comparando com a alegação do post de blog de que eram “apenas 3 pontos de dados”
    • Tecnicamente isso está correto, mas acho que esse nível de logging é inofensivo
  • Você está mentindo. Na página de datacenters está escrito que receberam certificações ISO27001 e SOC2
    Mas na busca oficial de certificações não aparece certificação alguma
    É preciso informar quem certificou e qual é o número da certificação
    • Não sei se é por eu estar no celular, mas agora não encontro nenhuma menção a ISO ou SOC2 nessa página
      Se isso estava lá antes, então colocaram uma certificação falsa e depois removeram, o que é um problema gravíssimo
      @ybceo, se você é o CEO da empresa, precisa explicar essa parte
  • Parece que já passamos do ponto crítico da sociedade de vigilância
    A vigilância técnica agora é rotina, e as grandes empresas usam dados para reorganizar conteúdo e abusar disso sob o nome de “experiência personalizada”
    • Esse “ponto sem volta” nunca existiu para começo de conversa
      A indústria e as cadeias de suprimento nunca foram projetadas desde o início com foco em segurança e privacidade
      No fim, treinamento de segurança e regulação só surgem depois que os acidentes se acumulam
      Ainda não aconteceram desastres de privacidade suficientes
    • No fim isso vai caminhar para governos controlando a população
      Há uma grande chance de o padrão digital mundial se tornar um regime de vigilância ao estilo chinês
    • Isso é derrotista demais. Anonimizar e ofuscar dados não é difícil
      O problema é que as pessoas abrem mão da segurança por conveniência
      No fim, o “ponto sem volta” é uma escolha individual
  • Já que falaram da Mullvad, descobri recentemente o Mullvad Browser
    É uma versão do Tor Browser sem a conexão de rede, e a resistência a fingerprinting dele é excelente
    Não precisa usar a rede Tor, e dá para usar mesmo sem Mullvad VPN
    Dá para verificar isso no teste de impressão digital de navegador da EFF
    • A maioria das pessoas só se preocupa com anonimato de rede e subestima o quanto a configuração do navegador vaza sua identidade
    • Só para constar, o Mullvad Browser foi desenvolvido em conjunto com o projeto Tor
  • Acho que qualquer empresa menos anônima que a Mullvad já tem um modelo de negócios comprometido
    A menos que haja uma necessidade legal real, não existe motivo para manter dados pessoais
    Com tantos vazamentos, não faz sentido assumir esse risco à toa
    • É preciso uma explicação honesta do tipo: “armazenamos o dado X por causa da funcionalidade Y, e o risco disso é Z”
      O fato de a maioria dos serviços exigir e-mail, cookies e dados analíticos por padrão não é algo honesto
    • As empresas aceitam esse risco porque não precisam arcar com a responsabilidade
      Já houve inúmeros vazamentos, mas quase nenhum executivo foi punido
    • Falando como engenheiro de infraestrutura, logs, métricas e traces são essenciais para depuração
      Esses dados inevitavelmente acabam incluindo informações identificáveis do usuário
      Fora de uma base de clientes stateless como a da Mullvad, isso não é viável na prática
    • Se você exigir o nível de anonimato da Mullvad, a maioria das empresas do mundo reprova
      Fico curioso para saber quantas empresas conseguiriam atender a esse padrão
  • O anonimato também tem um significado limitado no fim das contas
    Pegando carteiras de criptomoedas como exemplo, o endereço é anônimo, mas todo o histórico de transações é público
    A partir da primeira transação, a privacidade desaparece
    • Na verdade, pseudônimo (pseudonymous) é um termo mais preciso do que “anônimo”
      Endereços de criptomoeda ou handles de redes sociais têm uma identidade consistente, mas não estão ligados diretamente ao nome real
      Hoje em dia, parece fácil encontrar correlações entre pseudônimos por análise de estilo de escrita ou por terceirização de texto via LLM
    • Por isso a maioria das pessoas cria várias carteiras e tenta não reutilizá-las
  • Acho que o OP ajudou a organizar a discussão
    O lado bom do Mastodon é que cada servidor existe como uma unidade que pode ser apagada
    Diferente de redes sociais centralizadas, que “levam tudo”, isso evita criar um registro social impossível de apagar
    • Mas isso de que “ninguém é dono dos meus dados” no fim não é tão diferente de todo mundo ser dono deles
    • O Mastodon também replica posts entre vários servidores, então a exclusão completa é difícil
      Não é diferente de publicar na internet em geral, mas não é a solução para o problema de apagar dados
  • Existe o paradoxo de que, quanto mais você protege a privacidade, mais fácil fica o fingerprinting
    No fim, “privacidade” seria se misturar à multidão?
    • Isso é sobre fingerprinting do lado do cliente
      O que eu mencionei é anonimato do lado do servidor
      Se você simplesmente não coleta e-mail, IP nem padrões de uso, não há base de comparação e o fingerprinting se torna impossível
      Em outras palavras, o essencial é um design que simplesmente não gere os dados
    • O princípio básico do Tor é justamente “fazer todos os usuários parecerem iguais”
      Como nas Moscow Rules, a ideia central é “seguir o fluxo e não chamar atenção”
    • Mas se misturar à multidão não significa estar seguro
      Por exemplo, o grupo de usuários de Chrome no Windows é grande, mas ao mesmo tempo é um grupo único identificável
    • A discussão relacionada continua neste comentário
    • No fim, existe um ponto em que privacidade vira singularidade
  • @ybceo, se o tráfego dos usuários é descriptografado via Cloudflare, então a alegação de anonimato perde força
    Quando a terminação TLS é delegada a uma CDN externa, o risco de fingerprinting aumenta
  • A promessa de “não mantemos logs” é impossível de verificar
    A verdadeira solução é facilitar o uso de ferramentas de anonimização no lado do usuário
    É preciso proteção contra fingerprinting de navegador, VPN/Tor, e-mails por conta e meios de pagamento anônimos
    • Eu também digo isso há anos
      Se existissem cartões pré-pagos anônimos recarregáveis em dinheiro, junto com e-mails descartáveis,
      apoiar open source ou fazer micropagamentos seria muito mais fácil
      Mas é bem provável que governos proíbam isso por preocupações com lavagem de dinheiro
      No fim, eu também não consigo doar porque não existe uma forma de fazer isso anonimamente
    • Fico em dúvida sobre por que o vendedor não deveria saber a identidade do comprador
      No mundo real, isso não seria como usar uma balaclava e pagar em dinheiro?
    • Nesses casos, criptomoedas podem ser uma alternativa