A privacidade nas mídias sociais deve ser uma das principais preocupações dos usuários on-line. Contudo, a maioria das pessoas permanece inconsciente dos delitos das redes sociais e dos desenvolvedores de aplicativos que frequentemente abusam de suas informações pessoais.
O método CanaryTrap ajuda a identificar o uso indevido de dados
Felizmente, um grupo de acadêmicos criou um método que pode ajudar na identificação de desenvolvedores de aplicativos do Facebook que compartilham dados do usuário com terceiros. O método foi apelidado de CanaryTrap. Vamos ver como isso funciona.
Existem muitos exemplos de uso indevido de dados de desenvolvedores de aplicativos de terceiros. Em geral, logon único (SSO) aplicativos no Facebook geralmente exigem acesso aos detalhes pessoais de um usuário, como endereço de email, data de nascimento, gênero, e gostos.
O problema é que aplicativos de terceiros com acesso a detalhes pessoais de um grande número de usuários têm um alto potencial de uso indevido, os pesquisadores apontam em sua papel branco. O número de incidentes de uso indevido de dados de alto perfil por aplicativos de terceiros nas redes sociais online é maior do que deveria. Não vamos esquecer o escândalo da Cambridge Analytica.
Faltam métodos para detectar sistematicamente o uso indevido de dados por aplicativos de terceiros. O principal problema é que as plataformas de redes sociais online perdem o controle sobre seus dados, uma vez que são recuperados por aplicativos de terceiros. Esses aplicativos de terceiros podem armazenar os dados recuperados em seus servidores de onde podem ser transferidos para outras entidades. Nem os usuários nem as redes sociais online têm visibilidade sobre o uso de dados armazenados nos servidores de aplicativos de terceiros. Isso torna o problema de detectar uso indevido de dados extremamente desafiador, pois é difícil rastrear algo que não está sob seu controle.
assim, como o método CanaryTrap ajudará contra a questão do uso indevido de dados?
Método CanaryTrap explicado
O método CanaryTrap gira em torno de algo chamado de honeytoken. Os honeytokens são descritos como palavras ou registros fictícios, adicionado a bancos de dados legítimos. Os Honeytokens permitem que os administradores rastreiem dados nos casos em que não conseguiriam rastrear. Honeytokens pode ser o endereço de e-mail ou os detalhes do cartão de crédito que podem ser vazados ou compartilhados intencionalmente para detectar seu uso não reconhecido ou potencialmente não autorizado, o artigo explica. Essa detecção é feita com a ajuda de diferentes canais de monitoramento:
Por exemplo, se um endereço de e-mail for compartilhado como um honeytoken, os e-mails recebidos atuarão como o canal para detectar o uso não reconhecido do endereço de e-mail compartilhado. Projetamos e implementamos o CanaryTrap para investigar o uso indevido de dados compartilhados com aplicativos de terceiros no Facebook. Compartilhamos o endereço de email associado a uma conta do Facebook como uma lua de mel, instalando um aplicativo de terceiros e, em seguida, monitoramos os emails recebidos para detectar qualquer uso não reconhecido do endereço de email compartilhado. Concluímos que um honeytoken compartilhado com um aplicativo de terceiros foi potencialmente mal utilizado se o remetente de um email recebido não puder ser reconhecido como o aplicativo de terceiros.
Os pesquisadores também aproveitam o fato de os anunciantes no Facebook poderem usar endereços de e-mail para atingir públicos-alvo personalizados. A equipe usa a ferramenta de transparência de anúncios do Facebook, chamado "Por que estou vendo isso?”Para observar os anunciantes que usaram o honeytoken compartilhado para exibir campanhas de anúncios para públicos personalizados na plataforma social. A conclusão é que os honeytokens que foram compartilhados com um aplicativo de terceiros foram mal utilizados, caso o anunciante não possa ser reconhecido como o aplicativo de terceiros.
Os pesquisadores disseram que testaram 1,024 Aplicativos do Facebook dos quais eles encontraram 16 aplicativos que compartilham endereços de email com terceiros. Isso resultou em usuários recebendo emails de remetentes desconhecidos. Somente 9 do 16 aplicativos divulgados que estavam associados ao remetente do e-mail. O baixo número de aplicativos detectados é devido à pequena amostra de 1,204 aplicativos que foram utilizados na pesquisa. A equipe acredita que, se mais aplicativos forem investigados, o número de aplicativos que usam mal as informações do usuário será muito maior.
O manuseio incorreto do Facebook de dados do usuário não é novidade
Em abril 2019, Pesquisadores do UpGuard Cyber Risk descobriram meio bilhão de registros de milhões de usuários do Facebook que estavam disponíveis ao público na Internet. Os registros foram encontrados em servidores Amazon Cloud desprotegidos. Pelo visto, dois de terceiros desenvolvidos Facebook app conjuntos de dados foram expondo detalhes dos usuários para a internet pública.
Todos os conjuntos de dados tinham algo em comum – todos eles se originaram de usuários do Facebook e apresentaram informações confidenciais em detalhes, tais como interesses, relações, e interações. Estes detalhes estavam disponíveis para desenvolvedores de aplicativos de terceiros.
Em maio 2020, O Facebook enfrentou outra penalidade por alegações falsas de privacidade de dados. De acordo com o Bureau de Concorrência do Canadá, O Facebook manipulou incorretamente as informações do usuário criando a falsa sensação de que os usuários podem controlar quem pode ver e acessar suas informações pessoais por meio de recursos de privacidade. A penalidade é estimada em CAD 9 milhão, que é igual a USD 6.5 milhão, e EUR 5.9 milhão.