Funcionários do Snapchat coletaram dados privados de usuários

Funcionários do Snapchat abusaram do acesso aos dados privados de usuários com uma ferramenta interna da rede social. Com a chamada SnapLion, eles coletavam informações de localização, números de telefones, endereços de e-mails e até os Snaps que eram salvos.

A informação foi divulgada nesta quinta-feira (23) pelo site Motherboard, que entrevistou dois ex-funcionários da empresa e um colaborador atual do Snapchat. A publicação ainda teve acesso aos e-mails internos da empresa. De acordo com o site, os abusos relatados aconteceram há alguns anos. Os ex-funcionários contam que o SnapLion foi originalmente criado para coletar informações sobre usuários em resposta a ordens judiciais ou intimações.

O SnapLion pode ser acessado pela equipe de "Spam and Abuse" para o combate a casos de assédio ou bullying dentro da rede social. Um e-mail obtido pelo Motherboard ainda diz que um departamento chamado "Customer Ops" pode entrar na ferramenta interna. Por fim, a equipe de segurança também consegue acessar o SnapLion.

Um dos ex-funcionários descreveu a ferramenta interna como capaz de fornecer "as chaves para o reino" do Snapchat. Em um dos e-mails obtidos pelo Motherboard, um colaborador usa o SnapLion para procurar o contato de uma conta específica, mas a busca não estava vinculado a aplicação da lei.

Atualmente, o Snapchat conta com 186 milhões de usuários, e muitos deles podem não estar cientes da quantidade de dados que a empresa coleta e armazena. Em um documento público, o Snapchat descreve as informações que podem ser solicitadas pelas autoridades. Entre elas, está listado o número de telefone, dados de localização, metadados de mensagens (que podem mostrar com quem o usuário conversa e a data do bate-papo) e, em alguns casos, até mesmo o conteúdo postado no Snapchat, como as "Memórias", versões salvas dos Snaps que geralmente são efêmeras, bem como fotos e vídeos protegidas por backup.

Ferramentas como o SnapLion são um padrão da indústria no mundo da tecnologia uma vez que as empresas precisam acessar os dados do usuário para várias finalidades legítimas. Embora o Snapchat afirme que suas ferramentas garantem a aplicação de suas políticas, o cumprimento da lei e permitem a elaboração de relatórios para clientes, os ex-funcionários do Snapchat dizem que as ferramentas internas da empresa foram usadas para espionar usuários.

Uma das fontes do Motherboard disse que o abuso de acesso ocorreu "algumas vezes" por várias pessoas. E parece que a maioria dos funcionários sabia que o SnapLion era usado para fins ilegítimos: em outro e-mail, colaboradores discutem amplamente a questão das ameaças internas e o acesso aos dados, e como eles precisam ser combatidos.

Procurado pelo Motherboard, um porta-voz do Snapchat disse que proteger a privacidade é fundamental para a empresa. "Mantemos muito poucos dados de usuários e temos políticas e controles robustos para limitar o acesso interno aos dados que temos. Acesso não autorizado de qualquer tipo é uma clara violação dos padrões de conduta comercial da empresa e, se detectado, resulta em rescisão imediata".

Quando perguntado se o abuso de fato ocorreu, um ex-funcionário sênior de segurança da informação do Snapchat disse: "Eu não posso comentar, mas nós tivemos bons sistemas logo no início, na verdade, provavelmente mais cedo do que qualquer startup existente". O ex-funcionário sênior não negou que os funcionários abusaram do acesso aos dados e parou de responder às mensagens do Motherboard assim que foi questionado novamente.

De acordo com um dos ex-funcionários, o Snapchat não consegue rastrear amplamente o registro de quem acessa suas ferramentas, garantindo assim o uso adequado. Já a empresa garante que atualmente monitora o acesso aos dados de usuários. O Snapchat também diz que limita o acesso interno a ferramentas apenas àqueles que o exigem, mas o SnapLion não é mais uma ferramenta destinada apenas às autoridades. Agora é usado de forma mais geral em toda a empresa, inclusive para redefinir senhas de contas hackeadas e "outras administrações de usuários".

Outros casos do tipo

Esta ão seria a primeira vez que funcionários usam o acesso aos dados para fins ilegítimos. No ano passado, o Facebook demitiu vários colaboradores que usavam informações privilegiadas para perseguir ex-namoradas ou namorados. Na Uber, depois que foi apresentado o modo God View, que permite ver a localização em tempo real de usuários e motoristas, funcionários usaram o sistema interno para espionar ex-parceiros, políticos e até celebridades.

"O usuário normal precisa entender que qualquer coisa que ele faça e que não seja criptografada está, em algum momento, disponível para os humanos", disse o ex-diretor de segurança de informações do Facebook e agora professor adjunto de Stanford, Alex Stamos. "Não é excepcionalmente raro", acrescentou Stamos, referindo-se ao abuso de acesso a dados internos.

Leonie Tanczer, professor de Segurança Internacional e Tecnologias Emergentes da University College London, disse que este episódio "realmente reflete a ideia de que não se deve perceber as empresas como entidades monolíticas, mas sim agrupados de indivíduos que têm falhas e preconceitos".

Fonte: Vice