Seis dias depois da descoberta de um serviço online que vendia links de declarações fiscais, prescrições e outras informações confidenciais coletadas de mais de quatro milhões de navegadores, esses dados ainda permanecem disponíveis para clientes — em partes, graças à assistência do Google Analytics.
Em um e-mail de 11 de julho, o fundador e CEO da Nacho Analytics, Mike Roberts, disse aos clientes que o site sofreu uma interrupção permanente na coleta de dados uma vez que um fornecedor terceirizado não estava mais disponível. O site deixaria de aceitar novos clientes ou fornecer novas informações, mas os clientes que mantivessem as contas abertas ainda poderiam acessar os dados existentes, comprados anteriormente.
Como os prints abaixo mostram, os dados existentes são importados diretamente para as contas do Google Analytics dos clientes — e eles incluem as mesmas informações confidenciais que levaram à desativação da Nacho Analytics. A primeira imagem mostra os nomes de pacientes que obtiveram resultados de laboratório através do “Dr. Chrono”, uma plataforma na nuvem que oferecia serviços médicos.
Já a segunda imagem mostra problemas não públicos de gerenciamento de projetos retirados da rede da Tesla, canalizados para o Nacho Analytics e, em seguida, importados para o Google Analytics.
Os dados coletados das extensões estão disponíveis apenas para os clientes que o obtiveram anteriormente, no Nacho Analytics. Fato é que, uma vez que dados tornam-se públicos, não há como garantir que voltem a ser privados.
Ainda assim, a ajuda oferecida pelo Nacho Analytics e pelo Google Analytics torna consideravelmente mais fácil para os clientes manter o que pode ser o gigabyte de histórias de navegação coletadas de milhões de pessoas.
Quando perguntado se o acordo violava qualquer um dos termos de serviço do Google, um representante da empresa escreveu: “A transmissão de dados que identificam pessoalmente um indivíduo, como endereços de e-mail ou números de celular, por meio do Google Analytics, é proibida pelos nossos Termos de Serviço e tomamos providências contra contas detectadas fazendo isso intencionalmente”.
O representante disse também que o Google suspendeu várias propriedades do Google Analytics que eram da Nacho Analytics por violar seus Termos de Serviço. Os funcionários da companhia continuam investigando contas adicionais que podem estar conectadas ou integradas ao Nacho Analytics, com a condição de que a pessoa não seja nomeada ou citada, segundo o executivo.
DataSpii
Os dados confidenciais foram capturados no DataSpii, o nome criado por Sam Jadali para um incidente de segurança que começou com extensões de navegador — disponíveis principalmente para o Chrome, mas em casos mais limitados para o Firefox — que tinham até 4,1 milhões de usuários. Essas extensões coletavam as URLs e os títulos de todas as páginas web visitadas pelo usuário. Estes históricos de navegação eram então publicados quase em tempo real pela Nacho Analytics, que se anunciava como “modo Deus para a Internet” e usava o slogan “Veja a conta do Analytics de qualquer um”.
Um dia depois que Jadali as denunciou, o Google removeu as extensões da Chrome Web Store e também as desativou remotamente nos milhões de computadores que as instalaram. A Mozilla removeu e desativou a única extensão do Firefox em fevereiro. Cerca de uma semana depois das ações do Google, a Nacho Analytics anunciou a interrupção dos dados.
Muitas pessoas presumiram que o DataSpii havia sido encerrado. Na verdade, a coleta de informações foi interrompida, mas qualquer pessoa que tenha obtido dados confidenciais no passado consegue mantê-los enquanto continuar pagando o Nacho Analytics — e enquanto o Google Analytics continuar a desempenhar um papel nessa disseminação.
Via: Arstechnica
Tags: