Já está virando rotina. Desde o início do ano, inúmeros casos de vazamento de dados vieram à tona. Netshoes, Movida, Facebook e Under Armour foram apenas alguns dos mais conhecidos entre tantos outros noticiados mundo afora nos últimos dias. Agora é a vez do Grindr, aplicativo de relacionamento com foco no público gay masculino, passar por maus bocados após a confirmação de que dados sigilosos de mais de 3 milhões de usuários foram expostos.
Fotos, endereços e até os status de HIV dos usuários estariam sendo compartilhados com outras duas consultorias (Apptimize e Localytics) a fim de “otimizar” o serviço oferecido. “O fato se assemelha ao caso do Facebook pelo fato de empresas externas se utilizarem de credenciais internas para obter informações, dando acesso a dados que não deveriam ser compartilhados pelo aplicativo primário”, compara Eduardo Maffesoni, Channel Consulting Engineer da Arbor.
No caso do Grindr, o CEO da startup ATLAS LANE, Trever Faden, criou um site chamado “C*ckblocked”, já fechado, onde os usuários do Grindr podiam verificar se estavam com seus perfis bloqueados a outras pessoas. O problema identificado por Trever era que, após os usuários fazerem o login em seu portal, uma série de informações adicionais eram enviadas automaticamente pelo Grindr: fotos deletadas, e-mails e até localização de onde a pessoa estava em certos momentos.
Com isso, informações de mais de três milhões de usuários foram expostas, porque o sistema do site as compartilha sem o consentimento dos usuários com empresas terceiras e conexões via API usadas por marketing.
Marketing VS Privacidade
Segundo Maffesoni, há uma batalha entre as áreas de Marketing e Segurança das empresas, especialmente nas que lidam com informações sigilosas dos clientes. “O Markerting precisa lançar serviços e vendê-los e a equipe de segurança precisa garantir a efetividade de compliance das informações”, explica.
Uma brecha de segurança expondo dados de usuários pode levar uma empresa à falência e este é o ponto de objetividade do chefe da área de Segurança e Compliance. “O poder deste indivíduo dentro da empresa deve ser maior, a fim de controlar nos mínimos detalhes possíveis, onde a informação é armazenada e que tipo de informação deve ser compartilhada”, afirma Maffesoni.
O fato é que, além dos portais web, os dispositivos das pessoas, seus eletrodomésticos, veículos, brinquedos, jogos, entre tantas outras coisas, estarão cada vez mais conectadas à Internet, interligado com aplicações de rede sociais. “O problema é que organizações criminosas se aproveitam dessas conexões e utilizam das mesmas API’s e programações para criar robôs (bots), que enviam tráfego em tempo real, à Internet buscando e lendo estas conexões”, alerta o especialista.
No outro lado da ponta está o usuário, quem confia no sistema de Segurança da plataforma. Embora muitas redes sociais informem em seus disclaimers de registro que as informações publicadas ali podem ser compartilhadas com empresas terceiras para finalidades de marketing, a pessoa aceita os termos ao se registrar. Mas quando ocorre um vazamento de dados há um clamor público, as empresas se retratam e suas ações caem. No caso da dona do Grindr, uma empresa chinesa chamada KunLun Group Limited, as ações já caíram cerca de 5% após o incidente.
O outro lado
Em nota oficial, Scott Chen, CTO do aplicativo, revelou que compartilhar dados é uma “prática do mercado”, mas que trabalha com fornecedores sob “condições contratuais que fornecem o mais alto índice de confidencialidade, segurança e privacidade ao usuário”.
“Às vezes, esses dados podem incluir dados de localização ou o status do HIV, pois são recursos do Grindr, no entanto, essas informações são sempre transmitidas com criptografia e existem políticas de retenção de dados para proteger ainda mais a privacidade de nossos usuários”, disse o executivo.
Por fim, o CTO lembra que o Grindr é um fórum público, oferecendo aos clientes a opção de postar informações sobre eles, incluindo o status do HIV e a data do último teste, e é claro em sua política de privacidade que, se optar por incluir essas informações no perfil, elas se tornarão públicas. Por isso, “você deve considerar cuidadosamente quais informações incluir em seu perfil”, finalizou.
