Tech by VICE

Funcionários do Snapchat abusaram do acesso a dados para espiar utilizadores

Várias fontes e e-mails descrevem o SnapLion como uma ferramenta interna usada por vários departamentos para aceder a dados de utilizadores do Snapchat.

Por Joseph Cox
28 Maio 2019, 11:02am

Imagem: Hunter French.

Este artigo foi originalmente publicado na Motherboard - Tech by VICE.

Vários departamentos dentro da gigante das redes sociais Snap têm ferramentas específicas para aceder dados de utilizadores e vários funcionários já terão abusado do seu acesso privilegiado às mesmas para espiar utilizadores do Snapchat, descobriu a Motherboard.

Dois ex-funcionários afirmam que, há alguns anos, vários empregados da Snap abusaram do seu acesso aos dados de utilizadores do Snapchat. Estas fontes, além de outros dois ex-funcionários, um actual funcionário e uma cache de e-mails internos da empresa obtidos pela Motherboard, descrevem a utilização de ferramentas internas que permitiam que empregados do Snap à época acedessem a dados dos utilizadores, incluíndo, em alguns casos, informações de localização, os seus Snaps salvos e informações pessoais como número de telefone e endereço de e-mail. Snaps são fotos e vídeos que, se não são salvos, tipicamente desaparecem depois de serem recebidos (ou após 24 horas se postados no Story do utilizador).

A Motherboard garantiu anonimato às fontes deste artigo para, assim, poderem falar com sinceridade sobre os processos internos da empresa Snap.


Vê o primeiro episódio de "Cyberwar"


Apesar de a Snap ter introduzido controlos restritos de acesso a dados de utilizadores e levado a sérios casos de abuso de privacidade, segundo várias fontes, estas notícias destacam algo que muitos utilizadores podem esquecer: por detrás dos produtos que usamos todos os dias, há pessoas com acesso a dados altamente sensíveis dos clientes, que precisam deles para realizar trabalhos essenciais para o serviço. Mas, sem proteções apropriadas, essas mesmas pessoas podem abusar do seu acesso para espiar informações ou perfis privados.

Uma das ferramentas internas que pode ser usada para aceder a dados dos utilizadores chama-se SnapLion, segundo várias fontes e e-mails. A ferramenta era usada originalmente para reunir informação de utilizadores em resposta a pedidos válidos das autoridades, como uma ordem judicial ou intimação, explicam dois ex-funcionários. As duas fontes realçam que o SnapLion é um jogo com a sigla comum em inglês para agente da lei (Law Enforcement Officer - LEO), com um deles a acrescentar que é também uma referência ao personagem de animação Leo the Lion.

A equipa de “Spam e Abuso” da Snap tem acesso a esta ferramenta, segundo um dos ex-empregados e um actual funcionário sugere que a ferramenta é usada para combater bullying ou assédio na plataforma por parte de outros utilizadores. Um e-mail interno obtido pela Motherboard diz que um departamento chamado “Customer Ops” tem acesso ao SnapLion. A equipa de segurança também tem acesso, segundo um dos funcionários. A existência desta ferramenta nunca tinha sido reportada. O SnapLion fornece “as chaves do reino”, salienta um dos ex-funcionários que descreveu o abuso ao acesso dos dados de utilizadores.

*

Muitos dos 186 milhões de utilizadores do Snapchat usam a aplicação em parte pelo carácter efémero dos vídeos e fotos que enviam uns aos outros. Mas, os utilizadores podem não estar cientes do tipo de dados que o Snapchat pode armazenar. Em 2014, a Federal Trade Commission dos EUA multou o Snapchat por a empresa não revelar que colectava, armazenava e transmitia dados de geolocalização.

O guia da Snap para a aplicação da lei disponível publicamente para requisição de informação sobre utilizadores elabora sobre o tipo de dados disponíveis, incluindo o número de telefone linkado a uma conta; dados de localização do utilizador (como quando este liga essa configuração no seu telemóvel e permite serviços de localização no Snapchat); os metadados das suas mensagens, que podem mostrar com quem falaram e quando; e, em alguns casos, conteúdo limitado do Snapchat, como as “Memórias” do utilizador, que são versões salvas dos Snaps efémeros, além de outras fotos e vídeos que o utilizador grava.

Um e-mail interno obtido pela Motherboard mostra um funcionário da Snap a utilizar o SnapLion legitimamente para procurar um endereço de e-mail ligado a uma conta, num contexto que não envolvia as autoridades e um segundo e-mail mostrava como a ferramenta pode ser usada em investigações contra abuso infantil.

Trabalhas na Snap? Já trabalhaste na Snap? Entra em contacto com Joseph Cox em segurança pelo Signal +44 20 8133 5190, no Wickr em josephcox, no chat OTR em ifcox@jabber.ccc.de, ou pelo e-mail joseph.cox@vice.com.

Ferramentas como o Snap Lion são um padrão da indústria no mundo da tecnologia, já que as empresas necessitam de aceder a dados de utilizadores por vários propósitos legítimos. Enquanto a Snap diz que tem várias ferramentas que utiliza para ajudar no tratamento de denúncias de clientes, obedecer à lei e aplicar os termos e políticas de serviço da rede, alguns dos seus funcionários já usaram o acesso aos dados por razões ilegítimas, para espiar utilizadores, segundo dois ex-funcionários.

Um destes ex-funcionários assegura que o abuso do acesso a dados ocorreu “algumas vezes” na Snap. Esta fonte e outro ex-funcionário especificam que o abuso foi cometido por vários indivíduos. Um e-mail do Snapchat obtido pela Motherboard também mostra funcionários a discutirem amplamente a questão de ameaças e acesso a dados internos e como estas situações necessitavam de ser combatidas.

A Motherboard não conseguiu verificar como é que exactamente o abuso de dados ocorreu, ou que sistema ou processo específico os funcionários utilizaram para aceder a dados de utilizadores do Snapchat.

Numa declaração por e-mail, um porta-voz da Snap escreve: “Proteger a privacidade é fundamental na Snap. Mantemos poucos dados dos utilizadores e temos políticas e controleo robustos para limitar acesso interno aos dados que temos. Acesso não autorizado de qualquer tipo é uma violação clara da conduta de negócios da empresa e, se observado, resulta em demissão imediata”.

Quando perguntei se já teria ocorrido algum abuso, um ex-funcionário de segurança de informação disse: “Não posso comentar, mas sempre tivemos bons sistemas, provavelmente antes de qualquer outra startup”. O ex-funcionário de segurança não negou que empregados abusaram do seu acesso a dados e parou de responder a mensagens em que lhe perguntava se realmente teria havido abuso.

Um dos ex-funcionários acredita que há alguns anos o SnapLion não tinha um nível satisfatório de logging para rastrear a que dados os funcionários acediam. Logging, no geral, é quando a empresa rastreia quem utiliza um sistema e a que dados a pessoa acede, para garantir que estes sejam usados apropriadamente. A empresa implementou desde então mais monitorização, acrescenta o ex-funcionário. A Snap garante que, actualmente, monitoriza o acesso a dados de utilizadores.

“O logging não é perfeito”, explica um segundo ex-funcionário que descreveu o abuso de acesso a dados. A Snap diz que limita o acesso interno a ferramentas apenas àqueles que fazem requisições, mas o SnapLion já não é só uma ferramenta com a pura intenção de ajudar as autoridades. Agora, é usado de forma mais ampla na empresa. Um ex-funcionário que trabalhou com o SnapLion diz que a ferramenta é usada para fazer reset de senhas de contas hackeadas e “outras administrações de utilizadores”.

Por outro lado, um actual funcionário enfatiza os avanços da empresa para proteger a privacidade dos utilizadores e dois ex-funcionários insistiram sobre os controlos que a Snap já tem para proteger a privacidade. A Snap introduziu criptografia de ponta a ponta em Janeiro deste ano.

A existência de funcionários que se aproveitam do acesso a dados para propósitos ilegítimos é algo que acontece na indústria da tecnologia. No ano passado, a Motherboard relatou que o Facebook tinha demitido vários funcionários por recorrerem ao seu acesso privilegiado a dados de utilizadores para fazerem stalking a ex-parceiros. A Uber apresentou em eventos o seu modo "God View", que mostra a localização em tempo real de utilizadores e motoristas e funcionários da Uber utilizaram sistemas internos para espiar ex-parceiros, políticos e celebridades.

“Os utilizadores normais têm de entender que qualquer coisa que façam que não seja criptografada está, em algum ponto, disponível para outros humanos”, salienta ao telefone Alex Stamos, ex-chefe de segurança de informação do Facebook e actualmente professor adjunto de Stanford, referindo-se à ameaça de pessoal interno com más intenções que trabalham em grandes companhias de tecnologia no geral. “Não é uma raridade”, acrescenta Stamos sobre o abuso interno de dados.

Por sua vez, Leonie Tanczer, professora de Segurança Internacional e Tecnologias Emergentes da University College London, em conversa através de um chat online, sublinha que este episódio “realmente destaca a ideia de que as pessoas não podem entender empresas como entidades monolíticas, mas sim como um conjunto de indivíduos com falhas e interesses próprios. Portanto, é importante que esse acesso a dados seja severamente controlado internamente e que haja supervisão, verificações e balanços apropriados”.

Lorenzo Franceschi-Bicchierai também colaborou nesta reportagem.


Segue a VICE Portugal no Facebook, no Twitter e no Instagram.

Vê mais vídeos, documentários e reportagens em VICE VÍDEO.