Após uma consulta dos repórteres do jornal americano The New York Times, a empresa Zoom disse que desativaria um recurso de dados que poderia ser usado para bisbilhotar os participantes durante as reuniões sem o seu conhecimento.
Para os americanos que estão em casa durante a pandemia de coronavírus, a plataforma de videoconferência Zoom tornou-se uma tábua de salvação, permitindo que milhões de pessoas mantenham contato facilmente com familiares, amigos, estudantes, professores e colegas de trabalho.
Mas o que muitas pessoas talvez não saibam é que, até quinta-feira, um recurso de dados no Zoom permitia que alguns participantes tivessem acesso clandestino aos dados do perfil do LinkedIn sobre outros usuários – sem o Zoom pedir sua permissão durante a reunião ou até notificá-los de que alguém estava bisbilhotando eles.
A mineração de dados não divulgada aumenta as preocupações crescentes com as práticas de negócios da Zoom em um momento em que escolas públicas, prestadores de serviços de saúde, empregadores, instrutores fitness, autoridades e demais atividades de entretenimento estão adotando a plataforma.
Uma análise do The New York Times constatou que, quando as pessoas ingressavam em uma reunião, o software da Zoom enviava automaticamente seus nomes e endereços de e-mail para um sistema da empresa usado para combiná-los com seus perfis do LinkedIn.
O recurso de mineração de dados estava disponível para usuários do Zoom que se inscreveram em um serviço do LinkedIn para prospecção de vendas, chamado LinkedIn Sales Navigator. Depois que um usuário do Zoom ativava o recurso, essa pessoa podia visualizar rápida e secretamente os dados do perfil do LinkedIn – como locais, nomes de empregadores e cargos – para as pessoas na reunião do Zoom clicando no ícone do LinkedIn ao lado de seus nomes.
O sistema não automatizou simplesmente o processo manual de um usuário procurando o nome de outro participante no LinkedIn durante uma reunião do Zoom. Em testes realizados na semana passada, descobriram que, mesmo quando um repórter se inscreveu em uma reunião do Zoom com pseudônimos – “Anônimo” e “eu não estou aqui” – a ferramenta de mineração de dados conseguiu correspondê-lo instantaneamente ao seu perfil do LinkedIn. Ao fazer isso, Zoom divulgou o nome real do repórter para outro usuário, anulando seus esforços para mantê-lo privado.
Os repórteres também descobriram que o Zoom enviava automaticamente as informações pessoais dos participantes para sua ferramenta de mineração de dados, mesmo quando ninguém em uma reunião a havia ativado. Nesta semana, por exemplo, quando os alunos do ensino médio do Colorado se inscreveram em uma reunião de vídeo obrigatória para uma aula, o Zoom preparou os nomes completos e os endereços de e-mail de pelo menos seis alunos – e seu professor – para possível uso pelos perfis correspondentes do LinkedIn. De acordo com uma análise do NY Times sobre o tráfego de dados, o Zoom enviou para a conta de um aluno.
As descobertas sobre o recurso de mineração de dados do Zoom ecoam o que os usuários aprenderam sobre as práticas de vigilância de outras plataformas de tecnologia populares nos últimos anos. A plataforma de videoconferência que ofereceu uma janela de boas-vindas da resiliência americana durante o coronavírus – fornecendo uma espiada virtual nas salas de estar dos colegas, nas cozinhas dos colegas e nas comemorações de aniversário dos amigos – pode revelar mais sobre seus usuários do que eles imaginam.
“As pessoas não sabem que isso está acontecendo, e isso é completamente injusto e enganoso”, disse Josh Golin, diretor executivo da Campanha pela Infância Livre de Comércio , um grupo sem fins lucrativos de Boston, sobre o recurso de mineração de dados. Ele acrescentou que armazenar os dados pessoais de crianças em idade escolar para fins não escolares, sem alertá-los ou obter a permissão dos pais, era particularmente preocupante.
No início da quinta-feira, depois que os repórteres do NY Times contataram a plataforma Zoom e o LinkedIn com suas descobertas sobre o recurso de correspondência de perfis, as empresas disseram que desativariam o serviço.
Em um comunicado, Zoom disse que levava a privacidade dos usuários “extremamente a sério” e estava “removendo o LinkedIn Sales Navigator para desativar completamente o recurso em nossa plataforma”. Em um blog relacionado, Eric S. Yuan, executivo-chefe da Zoom, escreveu que a empresa havia removido o recurso de mineração de dados “depois de identificar a divulgação desnecessária de dados”. Ele também disse que o Zoom congelaria todos os novos recursos pelos próximos 90 dias para se concentrar em questões de segurança e privacidade de dados.
Em uma declaração separada, o LinkedIn disse que trabalhava “para facilitar a compreensão de suas escolhas sobre as informações que eles compartilham” e suspenderia o recurso de correspondência de perfis no Zoom “enquanto investigamos isso mais a fundo”.
As descobertas do Jornal NY Times adicionam uma avalanche de relatórios sobre questões de privacidade e segurança com o Zoom, que rapidamente emergiu como a plataforma social e de negócios preferencial durante a pandemia. Atualmente, o serviço de reuniões na nuvem da Zoom é o principal aplicativo gratuito da Apple App Store em 64 países, incluindo Estados Unidos, França e Rússia, de acordo com a Sensor Tower, uma empresa de pesquisa de aplicativos móveis.
Com o aumento da popularidade do serviço de videoconferência, a empresa se esforçou para lidar com escolhas de design de software e falhas de segurança que tornaram os usuários vulneráveis a assédio e invasões de privacidade.
Na segunda-feira, por exemplo, o escritório do Federal Bureau of Investigation de Boston emitiu um aviso dizendo que havia recebido vários relatórios das escolas de Massachusetts sobre invasores em reuniões na plataforma Zoom com exibições de pornografia, imagens de supremacia branca e linguagem ameaçadora – ataques maliciosos conhecidos como ” zoombombing. ”
Especialistas em privacidade disseram que a empresa parecia valorizar a facilidade de uso e o rápido crescimento ao instituir proteções padrão do usuário.
“É uma combinação de engenharia superficial e priorização do crescimento”, disse Jonathan Mayer, professor assistente de ciência da computação e assuntos públicos na Universidade de Princeton. “É muito claro que eles não priorizaram a privacidade e a segurança da maneira que deveriam, o que obviamente é um pouco preocupante”.
Em resposta a notícias sobre seus problemas, a Zoom anunciou recentemente que havia parado de usar software em seu aplicativo para iPhone que enviava os dados dos usuários ao Facebook; atualizou sua política de privacidade para esclarecer como lida com os dados do usuário; e admitiu que exagerou o tipo de criptografia usada nas reuniões por vídeo e telefone.
Embora a criação de perfis de consumidores e a prospecção de clientes corporativos sejam práticas padrão no gerenciamento de vendas e relacionamento com clientes, os especialistas em privacidade criticaram a Zoom por disponibilizar as ferramentas de mineração de dados durante as reuniões sem alertar os participantes enquanto eles estavam sendo submetidos a elas.
Um serviço, chamado de ” rastreamento de atenção ” , que o Zoom também disse que estava removendo na quinta-feira após as investigações dos repórteres, exibia um ícone “ao lado do nome de qualquer participante que não tivesse o Zoom focado por mais de 30 segundos”, de acordo com o site da empresa.
Em 2018, o Zoom introduziu o recurso de correspondência de perfis do LinkedIn para ajudar os representantes de vendas a melhorar o perfil e direcionar as perspectivas de vendas que participam das reuniões do Zoom.
“Obtenha instantaneamente informações sobre os participantes da sua reunião”, disse um vídeo Zoom promovendo o serviço. “Depois de fazer login, você poderá associar os participantes às informações de perfil do LinkedIn e visualizar as atividades recentes”.
Mas nem a política de privacidade do Zoom nem seus termos de serviço divulgaram especificamente que o Zoom poderia exibir secretamente os dados do LinkedIn dos participantes da reunião para outros usuários – ou que poderia comunicar os nomes e endereços de email dos participantes das reuniões privadas do Zoom ao LinkedIn. De fato, as instruções do usuário no Zoom sugerem exatamente o oposto: que os participantes da reunião possam controlar quem vê seus nomes reais.
Da mesma forma, a política de privacidade do Zoom diz que “alguns dados serão divulgados a outros participantes” quando uma pessoa usar o Zoom. Por exemplo, diz: “se você envia um bate-papo ou compartilha conteúdo, ele pode ser visto por outras pessoas no bate-papo ou na reunião”. Mas não mencionou que o Zoom poderia mostrar os dados do LinkedIn de alguns usuários a outros usuários ou divulgar dados sobre a participação dos usuários em reuniões privadas do Zoom para o LinkedIn.
Nicole Leverich, vice-presidente de comunicações corporativas do LinkedIn, disse que menos de 100 pessoas por semana estavam usando ativamente o recurso no Zoom e que o LinkedIn não retinha os dados sobre os usuários do Zoom.
Na quinta-feira, o Zoom enviou uma mensagem automatizada aos usuários dizendo que havia desativado o recurso de correspondência de perfis do LinkedIn “devido a problemas administrativos”.
“Notificaremos você quando o aplicativo for reativado”, dizia a mensagem.
Fonte: nytimes.com