A EFF quer que o Facebook e outros 8 gigantes #FixItAlready. Perguntamos o que isso significa.
Talvez o pior aspecto dos problemas de privacidade e segurança que afetam a tecnologia que usamos todos os dias seja o fato de eles parecerem completamente evitáveis.
Por que o Twitter não criptografou mensagens diretas? Por que o Facebook está usando seu número de telefone para mais do que sua autenticação de dois fatores?
A Electronic Frontier Foundation (EFF) planeja obrigar as empresas a abordar essas questões e muito mais em uma nova iniciativa chamada #FixItAlready.
Conversamos com Gennie Gebhart, da EFF, que ajudou a lançar o #FixItAlready, sobre os planos de finalmente responsabilizar as empresas pela privacidade e segurança dos usuários. Abaixo estão trechos dessa entrevista, levemente editados para maior clareza.
O que é #FixItAlready?
#FixItAlready é uma nova maneira de o EFF informar as empresas sobre a seriedade com relação a vários problemas de segurança e privacidade e, em particular, tentar envolver os usuários nesses problemas..
Queríamos procurar novas maneiras de abordar a defesa da privacidade do consumidor e destacar questões de segurança e privacidade que tenham correções realisticamente viáveis, mas com grande impacto. Do ponto de vista de um usuário, são coisas que o fazem pensar: “Por que eles ainda não consertaram isso?” E realmente queremos que essa iniciativa espelhe essa frustração reprimida..
Por que você destacou apenas nove empresas na iniciativa?
Se quiséssemos conversar sobre questões de segurança e privacidade em grandes empresas, poderíamos facilmente ter uma lista de centenas de coisas. A razão pela qual apontamos os nove se deve a três coisas:
- São empresas bem conhecidas;
- Eles têm correções realistas, viáveis e atingíveis; e
- Eles teriam um grande impacto se fossem abordados.
Nós queremos:
- Android para permitir que os usuários neguem e revogem as permissões de internet dos aplicativos.
- Apple permite que usuários criptografem seus backups do iCloud.
- Facebook para parar de usar números de telefone adicionados como verificação de conta para publicidade direcionada.
- Slack para dar aos usuários de contas não pagas controle sobre a retenção de dados.
- Twitter para adicionar criptografia de ponta a ponta para direcionar mensagens.
- Venmo para permitir que os usuários ocultem suas listas de amigos.
- Verizon para parar de pré-instalar spyware em telefones.
- WhatsApp para obter o consentimento de um usuário antes de adicioná-lo a um grupo.
- Windows 10 para permitir que os usuários mantenham suas chaves de criptografia de disco para si mesmos.
Alguns desses problemas são conhecidos há muito tempo, e o fato de termos a tecnologia para corrigi-los [e ainda não o fizemos] realmente contraria as práticas recomendadas de segurança e privacidade.
Qual empresa você acha que tem as mais graves falhas de privacidade e segurança?
Eu acho que a resposta mudaria dependendo de quem você está falando. É importante lembrar que muitas pessoas usam apenas um produto ou outro.
Os usuários da Apple estarão extremamente interessados nos backups do iCloud, por exemplo, mas as pessoas que usam apenas a Microsoft dirão que as chaves de criptografia de disco no Windows 10 são mais importantes.
Criptografar o iCloud é grande, no entanto. A Apple fez muito barulho e tem uma ótima reputação de segurança do iPhone, mas muitos usuários do iPhone podem não perceber que não têm o mesmo nível de segurança com o iCloud.
Se você deixar o telefone cair em uma poça ou esquecer todas as suas senhas, os backups farão sentido. Mas é importante que esses backups sejam criptografados, para que fotos e dados estejam seguros e ninguém possa acessá-los. Para uma empresa que já está usando a privacidade como um grande ponto de venda, isso é algo que eles não podem se dar ao luxo de permanecer imóveis.
Também estamos descobrindo novos problemas o tempo todo. Apenas alguns dias após o lançamento, aprendemos mais más notícias sobre como o Facebook abusa dos números de telefone que as pessoas adicionam por questões de segurança.
O que você acha do recente pivô de privacidade de Zuckerberg para sua empresa?
Ele inspira muita esperança no Facebook no que diz respeito à administração responsável dos recursos de segurança e privacidade. A fusão de mensagens do Facebook também é um desenvolvimento interessante, mas acho que o tempo dirá. Os aspectos do plano anunciado por Zuckerberg pareciam ótimos e, se o Facebook o realizar e permanecer com seus usuários, nós os manteremos. Se não, estaremos aqui para responsabilizá-los.
O histórico recente da empresa não inspira otimismo – vamos acreditar quando o virmos.
Como você espera que as empresas respondam ao #FixItAlready?
Em um setor altamente competitivo, acreditamos que quando uma empresa muda sua postura em segurança e privacidade, as outras podem parecer um pouco piores. Em alguns casos, como a política de permissões de internet dos aplicativos Android, se uma empresa se move e assume a liderança, ela pressiona todo o ecossistema para melhorar a privacidade em geral.
Já vimos o recurso de consentimento do WhatsApp, que parece estar na versão beta, e um recurso semelhante oculto no código da versão beta do Android. É aí que podemos ver algum movimento mais cedo ou mais tarde, dependendo da empresa e de suas prioridades. Se um concorrente vê isso, pode ser um grande motivador para melhorar a segurança e a privacidade do aplicativo.
Pode ser fácil sentir-se impotente quanto à segurança e privacidade de alguém. Como superamos isso?
Acho que pular na campanha #FixItAlready e ampliá-la não dói. Você pode se sentir impotente quando é um usuário entre vários bilhões. As grandes empresas não são responsabilizadas, não têm mandato eleito e não respondem a você, o que pode ser extremamente frustrante.
Mas uma coisa que as pessoas podem fazer é mudar a maneira como usam os produtos. Ninguém tem a ilusão de que sair do Facebook vai inspirar grandes mudanças – você precisaria de um movimento de um bilhão de pessoas para isso. Trata-se de se proteger e encontrar a segurança e a privacidade que você necessidade.
Também é importante refletir sobre o que segurança e privacidade significam para você como indivíduo. Você está nervoso com a vigilância do governo ou com os pais, empregador, professor ou cônjuge abusivo que está tentando vigiá-lo? São duas situações totalmente diferentes, e cada uma tem muitas maneiras diferentes de resolvê-las. Trata-se de encontrar exatamente o que você precisa e mudar seus hábitos on-line.
Quais são as próximas etapas para #FixItAlready?
Ainda estamos na primeira fase do projeto, mas já conversamos com empresas, aprendemos o que estão fazendo e quais blocos internos eles têm para que os recursos de privacidade sejam estabelecidos..
No momento, estamos procurando usuários que foram afetados por lapsos de privacidade. No que diz respeito ao Slack, por exemplo, existem organizadores da comunidade, grupos ativistas, sindicatos e coletivos de jornalistas que usam contas gratuitas e eles estão em risco com a política de retenção de dados do Slack. Procurando usuários assim, afetados por esses lapsos de segurança, são as pessoas cujas vozes gostaríamos de ampliar em um futuro próximo.
O projeto #FixItAlready nasceu dessa frustração reprimida de “O que podemos fazer?” Trata-se de tentar encontrar uma maneira de amplificar as vozes dos usuários que têm histórias interessantes para contar e como esses problemas os afetaram – quais são as soluções alternativas que eles tentaram usar para se proteger, apesar de todos os problemas de privacidade e segurança?
Quando observo o que pode acontecer a seguir, o ideal é que todas essas empresas parem de confiar na publicidade direcionada como modelo de negócios. Mas isso será difícil de realizar, por isso é sobre o que pode ser feito agora. Pelo que podemos lutar agora? E então podemos ver como desenvolver isso.
Então, estamos começando com algo fácil de alcançar?
Fácil de alcançar pode não ser o caminho certo para colocar as coisas – é importante reconhecer que fazer essas alterações pode ser uma tarefa hercúlea. Mas o ponto é que temos a tecnologia e não há desculpas para continuar evitando as melhores práticas de segurança e privacidade.
As empresas de tecnologia precisam reconhecer o que os usuários querem e merecem em termos de fundamentos de privacidade e segurança – e aplicá-lo.
Participe da campanha #FixItAlready da EFF
Para se envolver com o #FixItAlready da EFF, compartilhe suas queixas on-line com a hashtag #FixItAlready e siga Gennie Gebhart no Twitter para obter as últimas informações sobre a iniciativa.