Parece que vender computadores pré-programados com um software que compromete a segurança de seus usuários é uma má jogada comercial — e que pode custar muito caro.No final da semana passada, um grupo impetrou uma ação judicial coletiva contra a empresa de computação Lenovo e a empresa de softwares Superfish, que fabrica adwares presentes em alguns computadores da marca Lenovo. A ação acusa as duas empresas de práticas comerciais fraudulentas; de tornar os computadores Lenovo vulneráveis a malwares e ataques maliciosos; e, por fim, de usufruir ilegalmente da banda, da bateria e da memória dos laptops vendidos desde janeiro de 2012. A ação afirma que mais de um milhão de pessoas podem ter sido prejudicadas.Stephen G. Grygiel é um advogado que litigou casos complexos de invasão de privacidade e foi um dos líderes do conselho de requerentes em uma ação coletiva contra o Google de 2013, que acusava a empresa de inserir cookies — pedacinhos de softwares de vigilância — em navegadores de internet. Ele me mostrou a cláusula da Lei Federal de Escuta Telefônica que define os tipos de ressarcimento e a indenização previstos para o caso da Lenovo e da Superfish.Como se calcula a compensação monetária de uma violação de privacidade? Não é como se ser espionado pela internet possa ser facilmente convertido em uma cifra. Para casos como o do processo contra a Lenovo e a Superfish, a Lei de Escuta Telefônica afirma que "a corte pode calcular a indenização" com base na magnitude dos danos sofridos pelos queixosos e dos lucros obtidos pela Superfish e pela Lenovo, ou pode calcular uma "indenização obrigatória de maior montante, seja de US$100 por dia de violação ou US$10 mil".Grygiel disse que a "linguagem da Lei da Escuta Telefônica, que afirma que uma corte distrital 'pode calcular' o valor da indenização com base em provas da violação da lei, gerou uma discussão infrutífera quanto ao caráter mandatório ou discricionário dessas indenizações".No entanto, ele disse que "muitos advogados que trabalham nessa área estão cientes desse problema de ordem prática— se uma corte emitir um mandado de indenização dentro da Lei da Escuta Telefônica, as quantias podem se tornar imensas. Dependendo do número de violações e do período de violação, a reparação de danos da Lenovo e da Superfish poderia ganhar dimensões astronômicas.O pior é que ao utilizar um único certificado padrão — que substitui o certificado seguro dos sites acessados — o Superfish compromete seriamente a segurança do navegador. Qualquer um com essa chave facilmente hackeável poderia hackear qualquer computador Lenovo pelo wi-fi e espionar sileciosamente o que acontece por lá.O presidente da Lenovo admitiu à PC World que a empresa havia "pisado na bola", e divulgou uma forma mais simples de desinstalar o software —mas pode ser tarde demais.Esse foi um ato "inacreditavelmente ignorante e inconsequente da parte deles [a Lenovo]", escreveu Marc Rodgers, um especialista em segurança, em seu blog. "É provavelmente a pior coisa que eu já vi uma empresa fazer com sua base consumidora."A situação ficou tão ruim que o Departamento de Segurança Nacional dos EUA resolveu intervir. A equipe de emergência digital emitiu uma declaração na última sexta avisando que o software da Superfish contêm "uma vulnerabilidade crítica" e que a "exploração dessa vulnerabilidade poderia permitir que um agressor remoto interceptasse todo o tráfego criptografado (os HTTPs), imitasse qualquer site (spoof), ou atacasse o sistema afetado."A ação contra o Google, que o acusava de inserir cookies em navegadores da Microsoft e da Apple, foi indeferida porque, nas palavras do juiz, "o Google não interceptou informações como prescrito na Lei de Escuta Telefônica". A Superfish, no entanto, já admitiu ter interceptado imagens.Empresas como a Lenovo são pagas por empresas como a Superfish para inserir esse tipo de software em seus computadores. Mas, nesse caso, ambos podem acabar pagando caro por isso.Tradução: Ananda Pieratti
Publicidade
Publicidade
Nesse caso, a ação irá pedir US$5.000 por vítima da violação da Lei de Invasão de Privacidade da Califórnia, e até US$10.000 por membro queixoso como previsto na Lei da Escuta Telefônica. O processo indica que os advogados não sabem o número exato de pessoas prejudicadas, mas que "o autor acredita que existam mais de um milhão de partes prejudicadas por todos os Estados Unidos". Em outras palavras, a acusação pode pedir mais de US$10 bilhões em indenizações.Para interceptar todas as conexões criptografadas, o software da Superfish substitui os certificados originais de todos os sites — o sistema que seu navegador utiliza para confirmar a segurança desses domínios — por certificados falsos. Esses certificados falsos permitem que o software monitore a atividade dos usuários e guarde informações pessoais, basicamente invadindo o que deveria ser uma conexão segura. O resultado é que o software consegue inserir mais propagandas no navegador do usuário.O processo cita um cliente da Lenovo que explicou como o software da Superfish compromete qualquer ação online. "O software se coloca entre você e qualquer site que você visita para monitorar suas ações e extrair informações (como fotos), e em seguida te bombardear com propagandas de produtos similares", escreveu o usuário Randune em um fórum da Lenovo em janeiro. "O mais preocupante é que ele faz isso com conexões HTTPs [criptografadas] que o usuário acredita serem confidenciais entre ele e o servidor que ele *pensa * que é seguro."Os requerentes poderiam pedir uma indenização de até US$10 bilhões
Publicidade