Quem usa o G Suite, versão corporativa dos serviços do Google como Google Drive, Docs, Calendar e GMail, entre outros, precisa ficar ciente de que, apesar de precauções contra acesso não autorizado, o Google ainda pode ver todo o seu conteúdo armazenado no serviço. Quem alerta é Martin Shelton, pesquisador principal da Freedom of the Press Foundation, em um extenso artigo publicado no blog da empresa.
Martin, que foi funcionário do Google entre 2017 e setembro deste ano, afirma que o principal ponto fraco do serviço é que documentos dentro de um domínio do G Suite não são criptografados de ponta a ponta. Isso dá ao Google tudo o que é necessário para ler seus dados. E lembra que a empresa, acima de tudo, é norte-americana e pode ser forçada pelo governo do país a divulgar informações armazenadas em seus servidores.
O Google acessa e usa as informações armazenadas em um domínio para fins como filtragem de spam, detecção de malware ou ataques e correção ortográfica. Mas também analisa o que é armazenado em busca de conteúdo ‘ilegal’, ou que viola as políticas de uso de seus serviços.
Por exemplo, em dezembro de 2017 a jornalista Rachel Bale teve acesso bloqueado a um documento que estava escrevendo sobre crimes contra a natureza, porque segundo o Google ele continua conteúdo que violava os termos de serviço da empresa.
Has anyone had @googledocs lock you out of a doc before? My draft of a story about wildlife crime was just frozen for violating their TOS.
— Rachael Bale (@Rachael_Bale) October 31, 2017
Em 2012 o FBI exigiu do Google dados referentes às atividades de James E. Cartwright, general aposentado do corpo de fuzileiros navais dos EUA, que teria vazado para a imprensa informações implicando o governo de seu país na criação do Stuxnet, uma ‘cyber-arma’ usada para atacar o programa nuclear do Irã.
Os agentes federais pediram, e receberam, ‘mensagens enviadas, recebidas e excluídas, bem como livros de endereços associados à conta de Cartwright no GMail. Além disso pediram vídeos, arquivos, mensagens recebidas, enviadas e excluídas, bem como metadados incluindo registros de atividades com data e hora, informações sobre a conexão de internet de Cartwright, preferências da conta, endereços IP e localização’.
Obviamente o Google tem medidas e procedimentos para restringir o acesso às informações apenas ao necessário, e as acessa apenas com um mandato ou intimação judicial, mas o ponto chave é que elas podem ser acessadas.
Além disso, por design, administradores da G Suite podem observar com grande nível de detalhes as atividades de seus usuários, incluindo até mesmo o conteúdo de rascunhos de e-mails, mesmo que eles já tenham sido apagados.
Administradores podem fazer buscas em conteúdo do Google Drive e GMail, em metadados (datas, assunto de mensagens, destinatários) e criar regras para automatizar o processamento destas informações. Esses dados podem ser armazenados e retidos, e monitorados a partir de um PC ou mesmo de dispositivos móveis.
Shelton afirma que há razões legítimas para dar aos administradores esta capacidade de capturar, organizar e reter dados dos usuários. Mas o ponto é que usuários devem estar cientes de que os documentos que acessam, e o que escrevem neles, podem ser visíveis ao administrador da organização ou às pessoas a quem eles respondem.
No final das contas, o recado de Martin é ‘pense com cuidado no que você coloca na G Suite. Há momentos em que é melhor armazenar seus dados, como credenciais internas, listas de fontes, investigações de longo prazo e outros dados sensíveis, em outro lugar’. Seja em um serviço que oferece criptografia de ponta-a-ponta, ou mesmo offline, fora de um computador.
Posicionamento do Google
“O G Suite foi projetado para cumprir com rígidos padrões de privacidade e segurança, seguindo as melhores práticas da indústria. Os dados dos clientes do G Suite são criptografados quando eles estão em um disco, armazenados em uma mídia de backup, enquanto transitam pela internet ou quando trafegam entre nossos data centers. Além disso, seguimos processos rigorosos quando recebemos pedidos de informação por parte de entidades governamentais e rejeitamos aqueles pedidos que são inválidos. Divulgamos a quantidade de solicitações governamentais que recebemos em nosso Relatório de Transparência.”- Porta-voz do Google.