Que aquele lance de privacidade dos seus dados que aparecem nos termos de compromisso dos programas que se conectam a servidores é uma falácia grande, todos sabem. A única questão presente no termo privacidade na web é saber quem é menos cooperador das autoridades, e usar softwares dessa empresa. Enquanto o mundo tem medo do que o Google sabe, vazou um documento importante que mostra que a Microsoft abre as pernas para as autoridades mais fácil que prostituta de beira de estrada.
O nome do documento é Global Criminal Compliance Handbook, e expõe de forma vergonhosa como a empresa de Bill Gates guarda dados com a intenção de distribui-los para os caras de farda, em nome da segurança global. Todos os serviços da Microsoft - email, álbuns, SkyDrive, Xbox Live, MSN… - coletam dados, alguns deles para todo o sempre, amigos. Logicamente esse é o tipo de coisa que sempre se imagina e se espera, mas ver o documento estampado na sua cara é outra história.
Entre os dados retidos pela Microsoft estão: os dez últimos IPs e sites visitados pelos usuários do Windows Live ID; por 60 dias eles guardam o IP dos que se conectaram ao Hotmail, e emails em caixas de entrada por mais de 180 dias podem ser acessados por autoridades (menos que isso é necessário um mandado)…
Essa foi a parte legal da coisa, vamos descer mais alguns degraus agora. Sabe o SkyDrive e o Office Online? Não existe restrição para NADA que está nele. Ao menos a Microsoft não descreve nada no documento, o que deixa as portas abertas para um meio mundo de autoridades fuçar o que está lá. Lembre-se disso se deixar a função web do seu Office ativada, ou colocar coisas secretas no SkyDrive. É por isso que não coloco nenhuma fé em nuvem nenhuma, ou faço uso dela de forma não-sensível, como na utilização que faço do Evernote, a sincronização do Opera, e o Delicious. Sem restrições jurídicas, o que impede a Microsoft de caçar dados sensíveis nos documentos na nuvem de empresas concorrentes de parceiras dela, e realizar a boa e velha espionagem industrial?
Agora vamos a Xbox Live: Gamertag, Número do cartão de crédito, Telefone, Primeiro e último nome, com CEP, Número de série (mas apenas se o console tiver sido registrado online), Número de solicitação de serviço da Xbox Hotline, Conta de e-mail (como @msn.com, @hotmail.com ou qualquer outra conta Windows Live ID), Histórico de IP pelo tempo de vida da gamertag (apenas uma gamertag por vez). Esses dados são armazenados enquanto a conta na rede durar.
Logicamente que esses dados podem ser usados para ajudar você, caso seja invadido, mas as possibilidades são tão grandes que é impossível não pensar em usos indevidos para toda essa montanha de informação. E com Atos Patrióticos na moda nos EUA, realmente acho difícil que se atenham a burocracias como mandados na hora de pegar IPs. Lógico que para justificar todo esse armazenamento, é necessário se criar um clima de medo com o que se pode fazer na web, e acredite, é menos do que se divulga. E em um país extremamente corporativista e dominado por lobistas, é de se suspeitar que se fazem - e MUITO - uso empresarial dessas informações.
A divulgação das 22 páginas foi feita pelo site Cryptome, que é mais ou menos como um Wikileaks, mas composto somente de pesquisadores e especialistas. Desde 1996 o site está numa cruzada para revelar documentos sensíveis e secretos, que muitos governos e organizações lutam para manterem escondidos.
A Microsoft, ao ver seu documento por lá, não pensou duas vezes e entrou na justiça para parar com a brincadeira, alegando quebra de direitos autorais - ações de direito autoral (as chamadas DMCA, são mais simples e rápidas de serem enviadas do que avisos de documentos sigilosos. O site foi retirado do ar imediatamente, e passou a atuar com um nome e local alternativo - e os downloads do documento cresceram centenas de vezes. Depois de um dia fora do ar (dia 25 passado), ele volta ao ar, pois o juiz entende que não há quebra de direitos autorais, já que o documento não é vendável, nem tão pouco houve qualquer tipo de cópia. A Microsoft termina por tirar sua queixa…
No fim das contas, todos sabem que têm seus dados expostos na web, então, a questão vai mais da inteligência de quem usa o serviço, e o que expor na web, pois isso está sendo coletado, com toda a certeza. E confiar em Termos de Uso (se é que alguém lê aquilo) não é lá muito inteligente, assim como acreditar em cloud computing!
Sintam-se avisados…
PS: para baixar o documento, clique AQUI.
[Via Wired Threat Level e IDG Now!]
3 Comentaram...
Isso me lembra do lançamento do Google Chrome cujos termos de licença que os usuários deviam aceitar para instalar e utilizar o navegador continham afirmações diretas de que as informações passariam a ser propriedade do Tio Gugu. ( http://info.abril.com.br/aberto/infonews/092008/04092008-19.shl )
Olho vivo, minha gente...
Ma oeeee.....
Enquanto tiver um pinguim no meu PC, não me estresso.
Bem, esse tipo de política com dados é um tanto quanto comum em empresas que lidam com dados, triste que essa política seja ela é fato e existe na maioria dos webservices que vocês usam (inclusive no blogger onde essa página está hospedada), sugiro que caso você tenha alguma dificuldade de achar esse tipo de informação na Web leia o encarte "The Data Deluge" que saiu na Economist a algumas semanas atrás. A melhor medida, para os mais paranoicos, é sempre a de não usar esses serviços e não fazer uma caça as bruxas pra criticar as empresas (que só quer ganhar a vida e não ser má), pra elas a maneira que elas tratam os dados de usuário é um segredo industrial.
A maioria dos websites de algum porte colocam o ip dos que acessam num log, inclusive serviços para a comunidade do software livre como o SourceForge, isso por vezes é feito como uma medida de segurança e não como medida para espionar pessoas, e muitas vezes é algo que a empresa adiciona nos seus banco de dados pra rodar alguns algoritmos estatísticos posteriormente, raramente há alguma espionagem direta, na reportagem da economist eles descrevem isso de uma maneira não técnica. O problema maior está em páginas que lidam com dados de usuário, tipo mecanismos de busca, páginas de compartilhamento de vídeo e fotos, serviços de mensagem instantânea, etc.
Eu pessoalmente não tenho lá grandes problemas com isso, mas eu costumo colocar meus dados em diversos competidores na web, coloco meus vídeos no Vimeo, e logo o Google perde a habilidade de saber que meu IP postou um vídeo lá, prefiro usar o Flickr pra fotos, que também não é do Google, e também não uso o Google como motor de busca principal (eu uso o Duck Duck Go, que não grava logs de IP), do Google eu uso o Gmail (eu criptografo o e-mail com dois algoritmos de chave única mais o PGP caso precise de privacidade), o Google Maps (apenas quando o OpenStreetMap não ajuda) e o Google Reader, quando eu preciso de privacidade de fato eu rodo toda minha conexão tunelada num VPS que eu tenho na Europa e portanto a conexão sai com um IP europeu.
Só mais um ponto, o cryptome foi fundado por dois arquitetos, já li, em canais IRC, acusações de que eles na verdade os dois são agentes de algum serviço de inteligência de sinais (SIGINT), até onde se sabe eles são a única face pública do site, ninguém além dos dois conhece quem são os "pesquisadores independentes" que fornecem informação para o cryptome.
Postar um comentário
Mostre que é nerd e faça um comentário inteligente!
-Spams e links não relacionados ao assunto do post serão deletados;
-Caso queira deixar a URL do seu blog comente no modo OpenID (coloque a URL correta);
-Ataques pessoais de qualquer espécie não serão tolerados.
-Comentários não são para pedir parceria. Nos mande um email, caso essa seja sua intenção. Comentários pedindo parcerias serão deletados.
-Não são permitidos comentários anônimos.