A empresa de tecnologia que o popular aplicativo de mensagens Snapchat está usando para verificar a idade diante de uma iminente proibição de mídia social para menores de 16 anos afirma que seus métodos são seguros, mas os especialistas em segurança cibernética não estão totalmente convencidos.
As restrições do governo federal que proíbem crianças menores de 16 anos de usar as redes sociais entrarão em vigor amanhã.
O Snapchat depende do k-ID da empresa sediada em Cingapura para verificar as idades, oferecendo aos usuários três métodos para provar que têm mais de 16 anos:
- Um banco envia uma mensagem “sim/não” usando ConnectID, facilitada pela comunicação entre empresas com k_ID
- Um usuário pode digitalizar um cartão de identificação emitido pelo governo (passaporte, carteira de motorista ou qualquer outro documento de identidade emitido pelo estado) e o k-ID irá digitalizar e validar o documento de identificação e a idade.
- Os usuários podem tirar uma selfie e o k-ID estimará uma faixa etária.
“Sem armazenamento, não se preocupe”, diz a empresa
K-ID afirmou que “não há dados armazenados”, então as pessoas não precisam se preocupar com hackers.
“A identidade de uma pessoa é digitalizada e uma verificação de selfie é realizada para garantir que é a pessoa real, e então essas imagens são imediatamente excluídas”, disse um porta-voz do k-ID.
“Este é o único propósito do sistema.
“Os usuários têm então a oportunidade de armazenar seu token de idade (a verificação da idade do usuário pela empresa) como um AgeKey. Isso permite ao usuário provar sua idade sem ter que verificá-la novamente.”
O especialista em segurança cibernética Rumpa Dasgupta disse que para a opção de estimativa de idade facial (verificação de selfie), se o modelo realmente funcionasse completamente no dispositivo e o aplicativo não carregasse imagens, nenhuma imagem chegaria ao servidor.
“Isso elimina os riscos de violação do lado do servidor para esse método específico”, disse o Dr. Dasgupta.
“No entanto, os usuários ainda precisam confiar na implementação do aplicativo e na plataforma do dispositivo.
“Um aplicativo malicioso, comprometido ou mal implementado pode transmitir imagens apesar da política estabelecida”.
Os riscos ainda existem mesmo sem armazenamento a longo prazo
Para a opção de digitalização de ID e correspondência de rosto de selfie, o k-ID disse que as imagens foram excluídas imediatamente após a verificação e apenas o resultado de aprovação/reprovação foi retido.
Mas Dasgupta disse que esse método normalmente exigia a transmissão das imagens para um verificador, a menos que o fornecedor usasse verificação puramente no dispositivo ou criptografia forte do lado do cliente.
“Se as imagens forem enviadas para um sistema remoto, elas ficam expostas durante o trânsito e durante o processamento, mesmo que não sejam armazenadas por um longo prazo”, disse ele.
“A remoção imediata reduz o risco a longo prazo, mas não elimina a exposição a curto prazo.“
Um dos outros problemas com a estimativa da idade facial é a precisão, de acordo com o especialista em segurança cibernética Paul Haskell-Dowland.
“Eles podem ser mais precisos na forma como fazem isso, mas eu sugeriria que apenas com base na aparência visual, se fosse esse o caso, não precisaríamos de identificação emitida pelo governo”, disse o professor Haskell-Dowland.
“Se fosse realmente um método confiável, não precisaríamos comprovar nossa idade para comprar bebidas alcoólicas, cigarros ou qualquer outro produto com restrição de idade; apenas teríamos uma câmera na loja e eliminaríamos todo o incômodo de lidar com identidades.
“Não fazemos essas coisas porque você realmente precisa de uma abordagem mais confiável, mas talvez eles tenham investido nisso e tenham uma tecnologia fantástica e, se tiverem, deveriam patenteá-la e distribuí-la para todas as outras organizações”.
A K-ID disse que não possui nenhuma tecnologia de estimativa de idade, mas orquestrou “uma série de provedores para que as pessoas possam escolher como desejam fazer a verificação de segurança de idade”.
O método de conta bancária usado pelo ConnectID apresenta menor risco de privacidade porque não inclui imagens e apenas uma verificação de idade “sim/não” é enviada.
Mas o banco e o ConnectID ainda verão metadados indicando que o usuário solicitou verificação de idade para um serviço específico.
Dr Dasgupta disse que a afirmação do k-ID de que “não há dados armazenados para serem hackeados” era precisa “apenas sob a suposição de que todos os fornecedores seguem práticas de implementação corretas, excluem dados conforme prometido e não retêm nenhuma informação identificável”.
“O risco real de privacidade depende em grande parte da implementação técnica e do comportamento de cada fornecedor”, disse ele.
