Estas plataformas reencaminham endereços de email e até palavras-passe a terceiros, mesmo que o utilizador não registe os dados no final. Meta e TikTok não escapam a esta prática.
Numa altura em que se discute a inconstitucionalidade da lei dos metadados em Portugal, uma investigação recente indica que, na União Europeia, há 1844 websites a transmitir e a receber endereços de email. Nos Estados Unidos, estes números sobem para 2950.
Os dados são enviados, sobretudo, para serviços de marketing analítico.
O estudo, realizado pela Universidade Católica de Leuven e pelas Universidades de Radboud e de Lausanne, pretendia analisar formulários e outras ferramentas de recolha de dados nos cem mil websites mais visitados nas duas regiões.
Uma das principais conclusões aponta que os dados são recolhidos no imediato, isto é, à medida que a pessoa escreve – uma prática denominada de keylogging.
Estes instrumentos não necessitam que o formulário preenchido seja submetido, nem esperam que o utilizador consinta o tratamento dos dados pessoais, como os habituais cookies.
Dos 10 websites que mais endereços de email vazaram, constam nomes como USAToday, Trello, Marriott, Facebook e Prezi.
Apesar das áreas de atividade distintas, a informação terá, na sua maioria, a mesma finalidade: marketing analítico. Deste modo, Taboola e Bizible, plataformas de publicidade, e o Facebook encabeçam os domínios de chegada.
Além dos endereços de email, os autores revelam que 52 plataformas também terão reencaminhado palavras-passe a entidades terceiras. Neste caso, a Yandex, motor de busca russo, destaca-se como principal destinatário.
Em declarações à Wired, Güneş Acar admite ter ficado “surpreendido”.
O professor e investigador do departamento de segurança digital da Universidade de Radboud diz que a equipa esperava encontrar “umas poucas centenas de websites onde o email fosse recolhido antes da submissão” do formulário. No entanto, os resultados excederam as expectativas, “de longe”.
Já Asuman Senol, investigador em privacidade e identidade da Universidade Católica de Leuven, explica como este processo funcionará.
“Em alguns casos, quando se clica no próximo campo, eles recolhem o anterior, isto é, quando se clica no campo da palavra-passe, eles registam o endereço de email, ou basta clicar em qualquer lado e eles recolhem toda a informação imediatamente”.
Onde há dados, há Meta
Numa fase posterior, o estudo olhou com maior atenção para a ferramenta de correspondência avançada na web da Meta (ex-Facebook) e do TikTok. Este mecanismo recolhe informação pessoal, com alegado consentimento, de modo a proporcionar uma experiência de publicidade personalizada.
Contudo, à semelhança dos resultados anteriores, ambos os domínios registam informação que não é submetida pelo utilizador. Além disso, tanto Meta como TikTok recorrem a hiperligações e botões alheios que ativam igual ação de envio de dados, sem conhecimento explícito da pessoa.
Os problemas da Meta com a proteção de dados não são novidade e este estudo torna isso ainda mais claro: só na União Europeia, mais de sete mil websites poderão vazar informação à Meta a partir de botões ou links.
Numa escala mais reduzida, são 147 as plataformas acedidas no continente europeu que enviarão dados sensíveis ao TikTok.
A propósito destas falhas de cibersegurança, os autores notificaram algumas das empresas visadas no estudo. No entanto, as respostas foram mistas.
A Yandex, ao tomar conhecimento da situação, prontificou-se a resolver o problema. Já a Meta rapidamente alocou profissionais para esta ocorrência, mas não revelou mais pormenores sobre o assunto. O TikTok ainda não se pronunciou até ao momento.
