Especialistas em segurança cibernética dizem que há “muitos problemas” com a forma como o popular aplicativo de mensagens Snapchat está abordando a verificação de idade para sua proibição iminente de mídia social para menores de 16 anos.
Dez plataformas, incluindo o Snapchat, serão incluídas na proibição de redes sociais para menores de 16 anos, que entra em vigor em 10 de dezembro.
O Snapchat oferecerá aos australianos a oportunidade de provar que têm 16 anos ou mais de três maneiras diferentes: os usuários podem clicar na ferramenta de software ConnectID, de propriedade da Australian Payments Plus, que vincula suas contas bancárias; usar software proprietário da k-ID, com sede em Cingapura, que estima a idade de uma pessoa com base em uma selfie; ou carregue um documento de identidade emitido pelo governo.
O Snapchat tem cerca de 440 mil usuários australianos com idades entre 13 e 15 anos, o que o torna a plataforma mais afetada pela restrição.
A empresa americana Snap, operadora do Snapchat, criticou a sua inclusão nas restrições, argumentando que se trata de um “aplicativo de mensagens visuais”, mas concordou em cumprir.
“No entanto, desconectar os adolescentes de seus amigos e familiares não os torna mais seguros; pode forçá-los a usar aplicativos de mensagens menos seguros e menos privados”, disse Snap em um post em seu site.
“Continuamos a defender soluções mais conscientes da privacidade, como a exigência de verificação de idade no dispositivo, sistema operacional ou loja de aplicativos”.
Sherif Haggag, especialista em segurança cibernética e hacking ético da Universidade de Adelaide, disse que havia “muitos problemas” com a forma como o Snapchat aborda a verificação de idade.
Dr. Haggag disse que a primeira questão era que os dados fornecidos pelos jovens australianos deixariam a Austrália porque o k-ID está baseado em Cingapura.
“Mesmo que digam que não vão guardar os dados, os dados serão realmente publicados: o passaporte da criança, a sua selfie, o seu bilhete de identidade, seja o que for, terão de ser enviados para verificação”.
disse.
“Depois que sai da Austrália, as regulamentações do governo australiano ficam fora da janela porque você não tem nenhum controle sobre isso.”
Um porta-voz do Gabinete do Comissário de Informação Australiano (OAIC), o regulador nacional de privacidade, disse que a Lei de Privacidade tem aplicação extraterritorial e se aplica a “organizações independentemente de onde sejam detidas ou sediadas, desde que tenham uma ligação australiana ou exerçam negócios na Austrália”.
Paul Haskell-Dowland, especialista em segurança cibernética com interesse em pesquisas sobre segurança infantil, disse que o alarme começou a soar imediatamente quando soube que duas das opções oferecidas pelo Snapchat envolviam o envio de uma selfie ou de um documento de identidade emitido pelo governo.
“Temos tantos casos que chegam à consciência pública devido a violação de dados, perda de dados ou extravio de dados”, disse o professor Haskell-Dowland.
“Agora não sabemos os detalhes nesta fase de como eles irão lidar com os dados.
“O que sabemos é que as empresas, não necessariamente esta, mas as empresas em geral não são muito boas a manter os nossos dados seguros.“
Opção de conta bancária
A opção de conta bancária representa o primeiro envolvimento da pegada financeira de uma pessoa na implementação da proibição histórica das redes sociais.
O ConnectID disse que operava o Snapchat por meio de k-ID, business-to-business, de modo que o usuário só veria o ConnectID se escolhesse a opção de conta bancária.
A empresa disse que enviaria à plataforma tecnológica um sinal de sim ou não sobre se a pessoa tinha mais de 16 anos com base nos detalhes de sua conta, sem forçá-la a enviar informações confidenciais.
“O objetivo aqui é proteger os jovens online sem criar novos riscos de privacidade”, disse Andrew Black, CEO da ConnectID, em comunicado.
Dr. Haggag disse que a opção de conta bancária era provavelmente menos arriscada, desde que informações de identificação, como números de contas, não fossem incluídas.
O professor de segurança cibernética Rumpa Dasgupta, da Universidade La Trobe, disse que tirar uma selfie levanta preocupações reais de privacidade e segurança.
“Uma selfie usada para estimar a idade conta como dados biométricos, que são extremamente sensíveis, e armazenar essas imagens em qualquer lugar as torna um alvo tentador para hackers”, disse ele.
“Uma violação de dados bem-sucedida poderia expor imagens biométricas e documentos de identidade de usuários do Snapchat e abrir a porta para roubo de identidade e fraude.
“Embora o Snap afirme que você recebe apenas um resultado sim ou não, o provedor de serviços terceirizado ainda pode armazenar imagens ou reter logs, metadados ou backups.”
Historicamente, muitos ataques cibernéticos em grande escala em todo o mundo tiveram origem através de fornecedores terceirizados, disse o Dr.
“Os usuários precisam, portanto, de detalhes transparentes sobre quais informações são coletadas, como são processadas, por quanto tempo são retidas, quem pode acessá-las e se as imagens são armazenadas ou usadas de forma efêmera”, disse ele.
“Sem esta transparência, a confiança diminui e a probabilidade de violações de dados aumenta.”
Dr. Haggag diz que sua maior preocupação é a possibilidade de pirataria.
“Pelo menos todos os meses temos uma grande violação de dados, seja um banco ou uma empresa de telecomunicações; temos muitos, muitos ataques”, disse ele.
“E se você estiver verificando dados, mesmo que não os esteja armazenando, você ainda terá dados arquivados para verificar.”
Um porta-voz do governo disse à ABC que “a lei de idade mínima nas redes sociais incorpora fortes proteções para informações pessoais coletadas por plataformas para fins de garantia de idade”.
“Essas salvaguardas de privacidade impõem fortes obrigações às plataformas para proteger e destruir qualquer informação coletada, com sérias penalidades aplicáveis ao não cumprimento desses requisitos”, afirmou.
Mas o professor Haskell-Dowland disse que havia riscos associados ao envio de passaportes, cartas de condução ou autorizações de aprendizagem por parte dos jovens.
“Isso levanta preocupações sobre como os dados serão processados, como serão armazenados, por quanto tempo serão armazenados, quem terá acesso a eles e qual será o processo para que esses dados sejam posteriormente excluídos quando não forem mais necessários”, disse ele.
Uma das outras preocupações levantadas pelo Dr. Haggag foi a possibilidade de que aplicativos de verificação de idade que usam selfies pudessem usar as fotos para treinar melhor suas ferramentas.
“Quanto mais dados você fornecer ao sistema, mais preciso ele será”, disse ele.
A OAIC afirmou que as plataformas não devem utilizar informações recolhidas através de métodos de garantia de idade para quaisquer outros fins e que, uma vez cumpridos esses fins, as informações pessoais devem ser destruídas.
Mas o Dr. Haggag diz que, na prática, a forma mais provável de uma empresa não estar a cumprir as leis de privacidade australianas é quando há uma violação de dados e já é tarde demais.
“Quando você tira uma selfie ou uma foto do rosto do seu filho, trata-se de uma informação muito sensível”, disse ela.
“Se vazar, não dá para mudar de cara, o estrago já foi feito e vai ficar para sempre.”
K-ID foi contatado para comentar.
