http://www.cic.unb.br/~rezende/sd.php > cibercrimes : maiores

Uma jogada traiçoeira do Facebook

Thiago Oliveira Castro Vieira
professor de Direito na UCBa
e Pedro Antonio Dourado de Rezende
professor de Ciência da Computação na UnB
04 de abril de 2018


Em fevereiro de 2018 os autores decidiram acionar o Ministério Público Federal contra uma prática recente da empresa que desenvolve o Facebook. Trata-se de uma prática que ambos consideram desleal, associada a outras práticas que violam a privacidade de clientes, já admitidas pela empresa em meio a recente onda de denúncias circuladas em mídias alternativas. O artigo abaixo foi escrito para explicar o porquê, e para substanciar a petição inicial neste sentido, protocolada em 3 de abril de 2018 no MPF da Bahia sob número 20180046191.

Em meados de fevereiro de 2018, o Facebook passou a promover na sua própria interface de aplicativo, no menu “Protect”, um serviço de Rede Particular Virtual (Virtual Private Network – VPN) desenvolvido por sua subsidiária israelense ONAVO, empresa adquirida pelo grupo empresarial que é titular do Facebook em 2013, especializada em captura e análise de dados móveis.

Oh, Navo!

Ao clicar no referido menu (ilustrado na imagem ao lado, cortesia do protal Techocrunch), o usuário é redirecionado para a correspondente loja de aplicativos (Google Play, para sistemas Android, ou Apple Store, para IOS), na qual é possível obter gratuitamente o software ONAVO PROTECT – VPN Security, cuja descrição pode ser assim traduzida:
“A Onavo Protect mantém a sua segurança e a dos seus dados, onde quer que esteja. A Onavo Protect dá-lhe paz de espírito quando navega e partilha informações na Web móvel. Esta app poderosa protege a si, as suas palavras-passe (senhas) e as suas informações privadas, contra websites móveis maliciosos, de phishing e não seguros, que podem ver e partilhar as suas informações privadas. A Onavo Protect guarda com segurança os seus logins de websites e informações pessoais, como contas bancárias e números dos cartões de crédito, para que você e os seus dados estejam em segurança, independentemente de onde estiver. A Onavo Protect:
  • - Avisa-o quando você tentar visitar sites potencialmente maliciosos, de phishing ou perigosos
  • - Bloqueia potencialmente os sites perigosos
  • - Alerta-o quando você estiver prestes a partilhar informações através de um website não seguro
  • - Avisa-o quando você estiver ligado a uma rede Wi-Fi não protegida
  • - Adiciona uma camada extra de proteção a todo o seu tráfego de dados móveis para uma segurança adicional.
  • Onavo também oferece serviços de análise para desenvolvedores. Obtenha mais informações em insights.onavo.com.”
    (texto extraído da Apple Store).
    Em seus termos de privacidade, disponíveis apenas em língua inglesa no site http://www.onavo.com/privacy_policy/, o Facebook confessa que monitora, registra e analisa o acesso a aplicações de internet promovidas por terceiros:
    Analisa como você usa aplicativos e dados. Por exemplo, nós podemos combinar as informações, incluindo informações pessoalmente identificáveis, que você provê através de seu uso dos Serviços, com informações sobre você que recebemos de nossos afiliados ou terceiros, para fins de negócios, analíticos ou publicidade; Prover análises de mercado e outros serviços a afiliados e outros terceiros; Manter, melhorar ou administrar nossos serviços; executar análises de negócios; prover publicidade e atividades relacionadas independentemente ou em conexão com nossos afiliados; ou ainda apoiar nossas operações internas por atividades como soluções de problemas, análise de dados, testes e pesquisas; (tradução livre).
    Uma vez instalado o cliente1 VPN ONAVO PROTECT, é exibido um termo de contratual de adesão, no qual é possível ler, em letras pequenas e em língua estrangeira, que:
    “Quando você utiliza nossa VPN, nós coletamos as informações que são enviadas e recebidas pelo seu telefone. Estas informações incluem: seu dispositivo e sua localização, aplicativos instalados, como você utiliza esses aplicativos, os sites que você visita e a quantidade de dados que você usa. Isto ajuda a melhorar e operar o serviço Onavo através da análise dos sites, aplicativos e dados. Porque somos parte do Facebook, nós também usamos essas informações para melhorar os produtos e serviços do Facebook, obter informações sobre os produtos e serviços que as pessoas valorizam e criar melhores experiências.” (tradução livre).
    A despeito de ser lícita a captura de dados por parte de provedores de aplicação – desde que expressamente autorizados pelos usuários –, este não é o caso do serviço em foco. Senão vejamos.

    O que é "VPN"?

    Uma VPN é uma rede privada, construía através de um canal virtual criptografado, dentro de uma infraestrutura de rede pública, como se entende ser a rede mundial de redes de computadores que funciona por adesão voluntária à suíte de protocolos digitais TCP-IP (a Internet). O software VPN ONAVO PROTECT cria um canal criptografado entre o terminal do usuário e um servidor VPN na rede privada do Facebook, a partir do qual o usuário fica apto a enviar e receber pacotes de dados pela Internet com um novo endereço IP que lhe é atribuído pelo servidor VPN.

    Trata-se, portanto, sem qualquer dúvida, de um serviço de conexão (art. 5, V, da Lei 12.965/2014) e como tal deve se submeter ao regime jurídico próprio, que veda o registro de acesso a outras aplicações de internet (art. 14 da Lei 12.965/2014) e que possui prazos maiores para a manutenção de registro de conexão (art. 13 da Lei 12.965/2014).

    A capacidade de um serviço em rede prestado a partir da camada de aplicações (abreviadamente, “aplicação de internet”) monitorar as atividades dos seus usuários é extremamente limitada em relação ao de um provedor de conexão. Enquanto o primeiro fica adstrito às informações relativas à sua própria infraestrutura, e portanto, às obtíveis da respectiva sessão com o usuário, acrescidas daquelas capturáveis do ambiente computacional dessas sessões (tais como, por exemplo, as que podem ser armazenadas nesse ambiente pelos chamados cookies), o segundo tem uma capacidade distópica: um servidor VPN, por exemplo, é capaz de monitorar toda e qualquer atividade na plataforma-cliente oriundas ou destinadas a sessões de qualquer software que faça uso do correspondente serviço para suas transmissões na Internet.

    Analisando o artigo 14 do Marco Civil da Internet, o professor Augusto Marcacini2, é categórico:
    “Pelo provedor de conexão, ao qual o usuário está diretamente conectado, trafegam todos os pacotes de dados que este recebe e transmite. Como visto ao apresentar o princípio da neutralidade, é tecnicamente possível examinar o conteúdo desses pacotes em cada nó da rede, o que, claro, inclui o provedor que presta serviço de conexão. Sendo assim, esse provedor tem meios técnicos de, conhecendo essas informações, criar bases de dados que cadastrem quais sítios foram visitados, quais informações foram solicitadas, quando o foram, por quanto tempo.

    Ora, um cadastro como esse se constitui em uma insuportável invasão de privacidade dos usuários, sujeitando-os a uma vigilância constante e centralizada por parte dos provedores acerca de cada atividade efetuada online, o que motivou o legislador a simplesmente proibir a criação de registros tais. Essa é mais uma disposição importante, que limita as atividades de quem provê acesso à Internet, com o fim de assegurar a liberdade e a privacidade dos usuários.”

    Gato por lebre?

    Além das questões relativas à liberdade e à privacidade dos usuários, há, ainda, riscos à livre iniciativa e à livre concorrência. Ao analisar iniciativas da empresa do Facebook para promover seu serviço de conexão VPN, a jornalista norte-americana Sarah Perez (TechCrunch) destaca a vantagem competitiva obtida pela gigante de tecnologia ao ter acesso aos hábitos, dados e metadados dos usuários na utilização de outros aplicativos, inclusive concorrentes3:
    O marketing do ONAVO pelo Facebook induz uma expansão na base de usuários para esse software de VPN, ao prometer avisar os usuários do Facebook sobre sites mal-intencionados, a manter seguras informações sensíveis – tal como os de contas bancárias e de cartões de crédito – enquanto o usuário navega. Mas o Facebook não comprou o ONAVO por sesse motivo.

    Em vez disso, a VPN do ONAVO permite que o Facebook monitore as atividades do usuário também em outros aplicativos, dando ao Facebook uma grande vantagem no poder de mapear padrões de uso, de detectar novas tendências em todo o ecossistema de plataformas móveis [etc]. Com o ONAVO o Facebook passa a poder, por exemplo, monitorar em tempo real na sua base instalada indícios de mudanças na utilização de outros aplicativos; detectando quais estão se tornando mais utilizados, inclusive concorrentes; pode avaliar quais estão “disparando” em frequência de uso e/ou em popularidade; pode acompanhar quais novos recursos estão atraindo mais os usuários; e muito mais.

    Estes dados coletados de outros aplicativos já ajudaram o Facebook de várias maneiras, principalmente em sua competição com a concorrência: Notícia publicada no jornal Wall Street Journal em agosto passado, por exemplo, revela que a empresa pôde detectar que o lançamento do recurso “Stories” em seu [outro] aplicativo Instagram – arremedando uma funcionalidade nova e popular no concorrente Snapchat – surtiu o efeito de diminuir o ritmo de adoção do concorrente, antes mesmo que a própria empresa que desenvolve o Snapchat divulgasse esse fato.
    (tradução livre)
    Atentos a que o monitoramento, armazenamento e análise de dados gerados por aplicativos de clientes, quando efetuados por um provedor de conexão, gera desequilíbrios no mercado de bens simbólicos e de serviços informáticos, os legisladores brasileiros optaram por vedar essa prática.

    Violação de direito constitucional

    Além disso, o monitoramento de todo o tráfego de conexões digitais oriundas ou destinadas a plataformas de usuários do Facebook põe em risco o sigilo constitucionalmente protegido para as comunicações, visto que entre os dados monitorados estão as chamadas de voz sob IP (telefonia via Internet), os e-mails, as mensagens instantâneas, etc. Põe em risco o sigilo constitucional não apenas para usuários do Facebook que consentem sua violação, mas também para quem não a consente, nem mesmo tacitamente, já que as comunicações monitoradas pelo Facebook podem estar sendo dirigidas, ao arrepio de sua anuência ou ciência, a quem não usa o aplicativo, até mesmo em razão dessas violações – como é o caso de um dos autores.

    Essa espécie de “venda” casada, com o serviço de conexão do software ONAVO sendo oferecido através da interface do aplicativo Facebook, subverte a lógica no conceito de VPN, que é a de proteger o conteúdo informativo dos dados trafegáveis contra olhares de terceiros, ao longo dos imprevisíveis percursos que conectam interlocutores através da Internet.

    De um forma assaz traiçoeira, que explora limitações na argúcia técnica do usuário médio, a tecnologia VPN é assim desvirtuada: Insinuando-se como conveniente e ubíqua fonte para essa forma de proteção ponta-a-ponta, graciosamente oferecida a clientes do Facebook que usarem o ONAVO, o correspondente serviço dispõe tal proteção apenas no trecho até um ponto forçado, de passagem obrigatória por um dos servidores da empresa, onde os dados trafegáveis nas conexões desses clientes são grampeados às claras, por atacado, à guisa de se “aprimorar” ou sustentar o tal serviço.

    No trecho restante, que vai desse ponto forçado até os interlocutores finais, tais conexões seguem desprotegidas, expostas aos olhares de outros terceiros, quando o interlocutor final não for outro usuário do ONAVO. Com muitos desses clientes enganados, pela terminologia na interface de acesso ao serviço ou nos termos de sua descrição, com a ilusão de estarem “protegidos” em todo o percurso de suas conexões. E com o provedor desse serviço se transformando, com sua posição de mercado e com isso, numa espécie de teletela da distopia orwelliana.

    Quanto ao grau de penetração dessa “jogada”, conforme matéria na revista Techcrunch, citando dados do Sensor Tower, ao tempo da publicação o software ONAVO PROTECT já teria sido instalado em mais de 33 milhões de dispositivos, sendo o Brasil o país com a terceira maior base instalada, perdendo apenas para os EUA e para a Índia4.

    Próximos lances

    Não é segredo a ambição estratégica da empresa proprietária do Facebook, de se tornar um dominante provedor de conexão no Brasil5. Com essa jogada aqui denunciada, instrumentada por propaganda enganosa em flagrante violação ao direito à informação – com termos de privacidade em língua estrangeira e letras pequenas, e descrição do serviço excessivamente vaga ou ambígua –, a empresa se predispõe a realizar, em pouco tempo, sua ambição de tornar-se um provedor de conexão dominante no Brasil, porém, valendo-se de táticas sorrateiras que reputamos desleais.

    Ante o exposto, os autores peticionaram o Ministério Público Federal no sentido de que adote as providências que entender pertinentes para preservar os direitos à privacidade, à intimidade, ao sigilo das comunicações, à informação dos consumidores e à livre concorrência da sociedade brasileira. E aguardamos os desdobramentos.

    ________________________

    24/08/2018 - Atualização

    O Ministério Público da Bahia acatou a reclamação acima despachando pela INSTAURAÇÃO DE PROCEDIMENTO PREPARATÓRIO N. 044/2018 – PRBA



    Notas de Rodapé

    1 -"Em uma rede de computadores, poderemos ter servidores e clientes. Servidor é uma máquina da rede que oferece um serviço qualquer para tal rede. Cliente é uma máquina da rede que usa os serviços oferecidos pelos servidores. Podemos também atribuir os nomes cliente e servidor aos programas que utilizam ou disponibilizam os serviços da rede. Por exemplo: O Mozilla Thunder Bird e o Outlook Express são dois clientes de e-mail muito conhecidos. Já o Sendmail e o Postfix são excelentes servidores de e-mail." Mota Filho, João Eriberto – Análise de tráfego em redes TCP/IP. São Paulo. Novatec. 2013. Pg 38

    2 - Marcacini, Augusto Tavares Rosa. Aspectos Fundamentais do Marco Civil da Internet: Lei nº 12.965/2014. São Paulo: Edição do autor, 2016

    3 - Tradução livre. Original em https://techcrunch.com/2018/02/12/facebook-starts-pushing-its-data-tracking-onavo-vpn-within-its-main-mobile-app/

    4 - “The Onavo app today has more than 33 million installs across the iOS App Store and Google Play, according to data from Sensor Tower. Around 62 percent of those from Google Play – which could be another reason why Facebook is giving Onavo a push on iOS. The U.S. is currently the app’s largest user base, followed by India and Brazil.” Acessado em 19/02/2017. https://techcrunch.com/2018/02/12/facebook-starts-pushing-its-data-tracking-onavo-vpn-within-its-main-mobile-app/

    5 - "Acabei de me encontrar com o presidente Dilma Rousseff do Brasil. Tivemos uma boa discussão sobre trabalhar juntos para conectar mais pessoas à internet no Brasil. Um projeto que anunciamos hoje é um programa de conectividade experimental na favela de Heliópolis em São Paulo. Este é um bairro de baixa renda de cerca de 200,000 pessoas na maior cidade do Brasil. Vamos entregar wifi rápido gratuito a todos nesta comunidade para que eles possam acessar serviços básicos de internet nos seus telefones -- incluindo serviços gratuitos em torno da saúde, emprego, educação e comunicação.
    A presidente e eu acreditamos que todos devem partilhar os benefícios sociais e econômicos da conectividade. Falámos sobre as oportunidades de tecnologia para aproximar mais as comunidades e melhorar a educação. Estas são coisas que nos importam muito no facebook, por isso estamos empenhados em encontrar mais formas de colaborar. Estou animado para o facebook para ajudar mais brasileiros a se conectar com seus entes queridos e criar maiores oportunidades em todo o mundo.
    " Mark Zuckerberg 10 de abril de 2015. Disponível em: https://www.facebook.com/photo.php?fbid=10102020398242521&set=a.529237706231.2034669.4&type=3&theater"


    Autores

    Thiago Oliveira Castro Vieira é advogado criminalista e professor da Pós-graduação de Ciências Criminais da Universidade Católica de Salvador.

    Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.­cic.unb.br/~rezende/sd.php

    Direitos de Autor

    Pedro A D Rezende et. al., 2018:  Este artigo é publicado no portal do segundo autor, com autorização do coautor, sob a licença disponível em http://creativecommons.org/licenses/by-nd/2.5/br/