Para os americanos que estão se abrigando em casa da pandemia do coronavírus, a plataforma de videoconferências Zoom se tornou um recurso essencial, permitindo que milhões de pessoas se mantivessem em contato facilmente com familiares, amigos, alunos, professores e colegas de trabalho.
Mas o que muita gente pode não saber é que, até a quinta-feira, um recurso de mineração de dados no Zoom permitia que alguns participantes acessassem dados do perfil de LinkedIn de outros usuários de maneira sub-reptícia —sem que o Zoom solicitasse a permissão deles durante a conversa ou mesmo os notificasse de que alguém os estava bisbilhotando.
A mineração de dados não revelada faz aumentar a preocupação crescente com relação às práticas de negócios do Zoom, em um momento no qual escolas públicas, provedores de serviços de saúde, empregadores, preparadores físicos, primeiros-ministros e festas de dança da comunidade “queer” estão adotando a plataforma.
Uma análise do The New York Times constatou que, quando uma pessoa entra em uma videoconferência, o software do Zoom automaticamente envia seu nome e endereço de email a um sistema da companhia que usa esses dados para acessar o perfil dessa pessoa no LinkedIn.
O recuso de mineração de dados estava disponível para usuários do Zoom que assinassem um serviço de prospecção de vendas do LinkedIn chamado LinkedIn Sales Navigator. Quando um usuário do Zoom habilitava o recurso, ganhava acesso rápido e oculto a dados do perfil de LinkedIn dos interlocutores —localização, nome do empregador e posto de trabalho; bastava clicar no ícone do LinkedIn ao lado do nome do usuário.
O sistema não era usado simplesmente para automatizar o processo manual de buscar informações sobre outro participante de uma conversa no LinkedIn, durante uma conversa via Zoom. Em testes conduzidos ao longo da semana passada, o The New York Times constatou que mesmo quando um repórter entrava em uma conversa do Zoom usando um pseudônimo —“Anônimo” ou “não estou aqui”—, o recurso de mineração de dados instantaneamente localizava seu perfil de usuário no LinkedIn.
Quando isso acontecia, o LinkedIn revelava o nome real do repórter ao outro usuário, frustrando seus esforços para preservar a privacidade.
Os repórteres também descobriram que o Zoom enviava automaticamente informações pessoais sobre os participantes ao seu serviço de mineração de dados mesmo que nenhum dos participantes da conversa o tivesse ativado.
Esta semana, por exemplo, quando alunos de uma escola de segundo grau no estado do Colorado abriram o sistema para participar de uma aula em vídeo obrigatória, o Zoom preparou os nomes completos e endereços de email de pelo menos seis estudantes —e de seu protetor— para possível uso por seu recurso de acesso ao perfil do LinkedIn, de acordo com uma análise pelo jornal do tráfego de dados enviado pelo Zoom para a conta de um estudante.
As descobertas sobre o recurso de mineração de dados do Zoom ecoam o que usuários descobriram sobre as práticas de vigilância de outras plataformas populares de tecnologia nos últimos anos. A plataforma para videoconferência que ofereceu aos americanos uma amostra bem-vinda da capacidade de resistência de seu país, propiciando vislumbres virtuais das salas de estar de colegas, cozinhas de companheiros de escola, e festas de aniversário de amigos, pode revelar mais sobre seus usuários do que estes percebem.
“As pessoas não sabem que isso está acontecendo, o que é completamente desleal e enganoso”, disse Josh Golin, diretor executivo da Campaign for a Commercial-Free Childhood, uma organização ativista de Boston. Ele acrescentou que armazenar detalhes pessoais sobre crianças em idade escolar para propósitos não escolares, sem alertá-las e sem obter o consentimento de seus pais, era uma prática especialmente perturbadora.
Cedo na manhã de quinta-feira, depois que repórteres do The New York Times entraram em contato com o Zoom e LinkedIn sobre o que tinham descoberto com relação ao recurso de acesso a perfis., as companhias disseram que desativariam o serviço.
O Zoom afirmou em comunicado que levava a privacidade dos usuários “extremamente a sério”, e que iria “remover o LinkedIn Sales Navigator para desativar o recurso em nossa plataforma inteiramente”. Em mensagem relacionada no blog da empresa, Eric Yuan, o presidente-executivo do Zoom, escreveu que a companhia havia removido o recurso de mineração de dados “depois de identificar revelação desnecessária de dados”. Ele também afirmou que o Zoom congelaria a adoção de novos recursos pelos próximos 90 dias, a fim de concentrar suas atenções em questões de segurança e privacidade.
Em comunicado separado, o LinkedIn disse que estava trabalhando “para facilitar que os membros compreendam suas escolhas em termos de que informações compartilham”, e que suspenderia o recurso de acompanhamento de perfis no Zoom “enquanto investigamos a situação mais a fundo:
As descobertas do The New York Times vieram confirmar uma avalanche de relatórios sobre problemas de segurança e privacidade no Zoom, que emergiu rapidamente como a plataforma social e de negócios essencial, durante a pandemia. O serviço de reuniões em nuvem do Zoom no momento é o app gratuito mais baixado na Apple App Store em 64 países, entre os quais Estados Unidos, França e Rússia, de acordo com a Sensor Tower, uma empresa que pesquisa sobre apps para celulares.
Com o avanço da popularidade do serviço de videoconferência, no entanto, a companhia está tendo de correr para resolver questões de design de software e falhas de segurança que tornaram seus usuários vulneráveis a assedio e invasões de privacidade.
Na segunda-feira, por exemplo, o escritório do Serviço Federal de Investigações (FBI) americano em Boston anunciou ter recebido denúncias de diversas escolas do estado de Massachusetts sobre “trolls” que tomaram o controle de videoconferências no Zoom, exibindo imagens pornográficas e mensagens racistas, e recorrendo a linguagem ameaçadora —ataques malévolos conhecidos como “zoombombing”.
Especialistas em privacidade disseram que a companhia parecia privilegiar a facilidade de uso e o crescimento rápido, de preferência a adotar proteções mais fortes aos usuários.
“É uma combinação entre engenharia descuidada e priorizar o crescimento”, disse Jonathan Mayer, professor assistente de ciência da computação e de assuntos públicos na Universidade de Princeton. “Fica bem claro que eles não priorizaram a privacidade e a segurança, como deveriam, e isso evidentemente é mais que preocupante”.
Em resposta a reportagens sobre os problemas que vem encontrando, o Zoom anunciou recentemente que havia deixado de usar software em seu app para o iPhone que enviava dados dos usuários ao Facebook, e atualizado suas normas de privacidade a fim de esclarecer como lida com dados dos usuários; e admitiu ter informado incorretamente o grau de criptografia que emprega para suas teleconferências e videoconferências.
Ainda que armazenar perfis de clientes e prospectar clientes empresariais sejam práticas comuns de vendas e relacionamento empresarial, especialistas em privacidade criticaram o Zoom por permitir o uso dos recursos de mineração de dados durante reuniões sem alertar os participantes de que estavam sujeitos a isso.Um serviço conhecido como ”rastreamento de atenção”, que o Zoom também anunciou que
removeria, na quinta-feira, depois das perguntas dos repórteres, exibia um ícone “ao lado do nome de qualquer participante que não tenha o Zoom em foco por 30 segundos ou mais”, de acordo com o site da companhia.
Em 2018, o Zoom introduziu o recurso de acesso ao perfil do LinkedIn a fim de ajudar vendedores a formar perfis melhores dos potenciais compradores que participassem de reuniões por meio do sistema da empresa.
“Obtenha informações instantâneas sobre os participantes de suas reuniões”, dizia um vídeo do Zoom para promover o serviço. “Quando você assinar, terá acesso ao perfil de LinkedIn dos participantes, com as informações pessoais deles e suas atividades recentes”.
Mas nem as normas de privacidade e nem as regras de uso do Zoom revelavam especificamente que o Zoom podia mostrar informações de LinkedIn sobre alguns participantes a outros —ou que podia comunicar os nomes e endereços de email dos participantes de reuniões privadas do Zoom ao LinkedIn.
De fato, as instruções de uso do Zoom indicavam exatamente o oposto, afirmando que os participantes de reuniões tinham controle sobre quem poderia ver seus nomes reais.
“Insira o número da reunião e seu nome de usuário”, informa uma seção da central de ajuda do Zoom. “Depois de se registrar, mude o nome de tela, se não deseja que seu nome padrão apareça”.
As normas de privacidade do Zoom dizem, igualmente, que “alguns dados serão mostrados a outros participantes”, quando uma pessoa usa o Zoom. Por exemplo, as normas dizem, “se você enviar um pedido de chat ou compartilhar conteúdo, isso poderá ser visto por outros participantes do chat ou reunião”. Mas as normas não mencionam que o Zoom poderia mostrar dados de LinkedIn de alguns usuários a outros usuários, ou revelar ao LinkedIn dados sobre a participação de usuários em reuniões privadas no
Zoom.Nicole Leverich, vice-presidente de comunicação corporativa no LinkedIn, disse que menos de 100 pessoas por dia usavam ativamente esse recurso no Zoom, e que o LinkedIn não retém dados sobre usuários do Zoom.
Pouco depois das 13h da quinta-feira, horário da costa leste americana, o Zoom enviou uma mensagem automatizada aos seus usuários informando que o recurso de acesso a perfis do LinkedIn havia sido desativado, “por motivos administrativos”.
“Nós os notificaremos quando o app for reabilitado”, a mensagem dizia.
Tradução de Paulo Migliacci
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.