O uso de cookies e a violação da privacidade - o caso NebuAd
Por Ruy José Guerra Barretto de Queiroz
A indústria do anúncio online está no cerne da economia da internet. Conforme um levantamento recente da PriceWaterhouseCoopers (“IAB Internet Advertising Revenue Report”, Março 2009), as receitas com anúncio online continuam a bater recordes: nos EUA chegaram a U$6,1 bilhões no último trimestre de 2008, um aumento de 4,5% em relação ao trimestre anterior (US$5,8 bilhões) e de 2,6% em relação ao último trimestre de 2007 (US$5,9 bi). As receitas totais em 2008 atingiram a marca de US$23,4 bilhões, 10,6% a mais que os US$21,2 bilhões registrados em 2007.
Segundo Randal Rothenberg, CEO da Internet Advertising Bureau, “estamos assistindo a um deslocamento secular contínuo [da propaganda] das mídias tradicionais para a mídia online à medida em que os marqueteiros reconhecem que os dólares de anúncios investidos na mídia interativa são eficazes em influenciar consumidores e em produzir resultados mensuráveis. Nessa economia de incertezas, onde marqueteiros sabem que precisam fazer mais com menos, o anúncio interativo provê as ferramentas para que eles possam construir relacionamentos profundos e envolventes com os consumidores – a experiência que os marqueteiros ganham com isso lhes trará dividendos especialmente depois que a economia volte ao ritmo normal.”
Um relatório recente da Nielsen confirma a tendência: se, por um lado, o investimento em anúncio online por parte do setor financeiro, vendas a varejo e automóveis diminuiu a um passo forte nos últimos seis meses, por outro lado, os fabricantes de produtos empacotados, a indústria farmacêutica e as empresas de telecomunicações, 3 dos maiores investidores em propaganda, estão vindo para a internet num ritmo nunca visto. Com tudo isso, no entanto, a indústria do anúncio online mostrou também que, mesmo não estando livre da recessão econômica, vem sofrendo menos que o restante da economia.
Os números divulgados em 01/05/09 pelas 4 maiores arrecadadoras de receitas com anúncio online (Google, Yahoo, Microsoft, e AOL) sobre o 1º trimestre de 2009 revelam uma queda de 2% em relação ao ano anterior, e de 7% em relação ao último trimestre de 2008. O fato é que o ritmo de crescimento dessa indústria tem desacelerado desde o início da crise, mas esse é o primeiro trimestre a experimentar um verdadeiro declínio em receitas. Somente a Google não teve resultado negativo.
A bem da verdade, a propaganda na internet tem suas vantagens: (1) oferece publicação imediata de anúncios sem limitação de geografia ou de tempo; (2) pode ser personalizada através do rastreamento de usuários espacialmente sobre diferentes portais e sobre o tempo; (3) oferece mais facilidade para se mensurar o interesse do consumidor nos anúncios através da contagem de “clicks” sobre o anúncio. Em nome da usabilidade e da monetização de seus portais, empresas de conteúdo de internet normalmente interagem com domínios de terceiros para integrar anúncios e daí gerar receita. Na verdade, um novo modelo de negócios baseado em anúncios online criou novas oportunidades para blogueiros, jornais, e aplicações web.
Até mesmo os usuários têm sido beneficiados pelo anúncio online pois ele financia o acesso livre a conteúdo e serviços de valor inestimável. Por exemplo, jornais oferecem artigos gratuitamente online e geram receita a partir dos anúncios. Igualmente, a Google oferece um serviço de correio eletrônico (Gmail) competitivo e gratuito, que exibe anúncios e assim gera receita. Além disso, aos usuários os anúncios online podem trazer informações relevantes, especialmente se o anúncio for direcionado. É por essa razão que, para melhorar a relevância dos anúncios e garantir uma melhor experiência online ao usuário, os anunciantes fazem uso de tecnologias de rastreamento das atividades do usuário por meio da gravação de pequenos arquivos conhecidos como “cookies” no sistema de arquivos do usuário.
Segundo a Wikipedia, um cookie é uma cadeia de texto armazenada no computador do usuário por um navegador contendo um ou mais pares ‘nome-valor’ de informações tais como preferências do usuário, conteúdo de carrinho de compras eletrônico, identificador de uma sessão baseada em servidor, ou outros dados usados por portais. É normalmente enviado como um cabeçalho do protocolo HTTP por um servidor para um cliente web, e aí enviado de volta sem alteração pelo cliente a cada vez que ele acessa aquele servidor.
O termo "cookie" tem origem no conceito "magic cookie" do sistema operacional UNIX que se referia a um mecanismo de troca de dados entre programas através de um arquivo curto de modo que seu conteúdo tipicamente não tinha significado para o receptor mas serviria para o emissor ao recebê-lo de volta e reabri-lo. Por essa característica “opaca” ao receptor, porém com conteúdo significativo para o emissor, esse arquivo ganhou o nome de cookie em referência ao “fortune cookie” (biscoitinho da sorte).
Os cookies enviados ao servidor que hospeda a página visitada são chamados de “cookies de primeira” (em inglês “first-party cookies”), e são usados pelos servidores para memorizar o estado da conexão, de modo a identificar o usuário numa visita posterior. Como as páginas web podem conter referências a componentes necessários para a boa exibição da página (por exemplo, imagens ou anúncios), os navegadores frequentemente emitem solicitações adicionais através do protocolo HTTP especificamente para esses elementos, que podem estar armazenados em outros domínios.
Estes últimos, por sua vez, podem vir a enviar cookies ao usuário, e esses são os chamados “cookies de terceiros” (em inglês, “third-party cookies”), que vão permitir o rastreamento do usuário por parte de terceiros. Conforme sua função, os cookies são classificados em cookies de sessão (que não têm data de validade, mas expiram após o término da sessão), e os cookies persistentes aos quais está associada uma data de expiração.
Em geral, essa “intrusão” pode ser evitada ou controlada pelo próprio usuário através de comandos ou opções disponíveis no software de navegação na internet. Há, no entanto, casos em que o rastreamento excessivo e até subliminar leva a uma ameaça séria de invasão de privacidade. Um desses casos, aliás, um tanto emblemático, parece ter chegado a um desfecho recentemente: a NebuAd, uma empresa americana de propaganda online baseada em Redwood City, California, com escritórios em Nova York e Londres, e com investimentos de Sierra Ventures e de Menlo Ventures (dois grandes nomes do chamado “capital de risco”), após ter sua sentença de morte anunciada desde que o Congresso americano a forçou a mudar sua estratégia de rastreamento do usuário através do provedor de serviços há um ano atrás, finalmente fechou suas portas: em 15/05/09 seus advogados entraram com uma notificação para o Juiz Distrital Edward Chen de San Francisco informando seu fechamento.
A NebuAd surgiu como um dos grandes destaques entre as empresas de desenvolvimento de sistemas de anúncio online baseados em direcionamento comportamental associados a acordos com provedores de serviços de modo a lhes habilitar a analisar os hábitos de navegação dos clientes com o objetivo de fornecer anúncios mais relevantes e micro-direcionados. Outras empresas atuando no setor incluem a britânica Phorm, também alvo de acusações de invasão de privacidade, Perftech, Quarad e Front Porch, além das mais recentes Adzilla e Project Rialto. Num certo momento, a NebuAd contava com mais de 30 clientes, na maior parte provedores de acesso à internet, e seus acordos com os provedores cobriam cerca de 10% dos usuários de banda larga dos Estados Unidos.
O produto da NebuAd era composto de três partes: (1) um equipamento hospedado no provedor de acesso à internet que era capaz de inserir conteúdo em páginas solicitadas pelo usuário (e poderia monitorar até 50 mil usuários), (2) um servidor complexo utilizado para analisar e categorizar o conteúdo das comunicações realizadas pelo usuário, e (3) relacionamentos com redes de anunciantes que desejassem oferecer a propaganda direcionada da NebuAd. O regime de participação adotava a política de “opt-out”, isto é, o usuário poderia optar por não participar do esquema de monitoramento (e conseqüente melhora da relevância dos anúncios), mas teria que se manifestar.
Não obstante, o usuário não tinha como impedir que o provedor enviasse os dados à NebuAd. Em posição privilegiada, o provedor teria condições de monitorar e analisar, por meio de “deep packet inspection” (inspeção profunda dos pacotes de comunicação, algo como abrir um envelope e observar seu conteúdo, para logo após fechá-lo novamente e repassar adiante) todo o tráfego do usuário.
A política de privacidade da NebuAd, no entanto, dizia que a empresa “especificamente não armazenaria ou usaria qualquer informação relacionada a informação médica confidencial, de origem racial ou étnica, de crenças religiosas, ou de sexualidade que estivessem associadas a informações pessoais identificáveis (‘personal identifiable information’).” Por outro lado, a empresa advertia que "as informações que coletamos são processadas nos servidores da NebuAd nos Estados Unidos. Assim, essas informações podem estar sujeitas a requisições de acesso por parte de governos, cortes ou polícia."
Apesar da receita adicional que permitia aos provedores, e da maior relevância dos anúncios oferecidos ao usuário, a NebuAd parecia estar sempre causando preocupação aos defensores dos direitos à privacidade na internet. Havia questionamentos sobre: (1) a falta de transparência dos provedores em relação ao uso dos serviços da NebuAd, (2) um método “opt-out” fraco (seria possível sair do regime de anúncio direcionado operado pelo provedor, mas não necessariamente do regime de entrega de seus dados à NebuAd), (3) a falta de vigilância sobre o que uma terceira empresa faz com o conteúdo das comunicações via internet, (4) os conflitos entre o serviço da NebuAd e as leis de escuta (“wiretap”) americanas, e (5) a recusa da NebuAd em revelar os provedores com os quais tinha parceria. Finalmente, veio um indício forte de que algo estava errado: em 10/03/2008, um usuário da empresa de internet por cabo Wide Open West (WOW) escreveu para o portal DSLreports.com: “a conexão da WOW está forçando conexões e cookies na minha máquina quando visito a google.com.”
No dia seguinte outro usuário revela suspeita semelhante: “Achei que vocês gostariam de saber, que estou suspeitando de meu provedor, Wide Open West. Sou da área de Chicagoland, e certamente parece que eles estão permitindo que a NebuAD infecte a rede deles (desculpa, - minha interpretação pessoal...estou bem irritado com isso) e alterando páginas para incluir seus cookies de rastreamento. Até onde sei, não recebí qualquer aviso de que eles estariam tentando essa proeza.”
Após a ampla divulgação das suspeitas dos usuários da WOW, e de outros parceiros da NebuAd, os membros da Câmara dos Representantes Edward Markey (Democrata, Massachussetts, Presidente da Subcomissão de Telecomunicações e Internet) e Joe Barton (Republicano, Texas) enviaram em 16/05/08 uma carta à Charter Communications (quarta maior empresa de comunicações por cabo, e parceira da NebuAd), invocando a desistir dos planos de rastreamento de usuários e convocando para uma audiência pública no Congresso americano.
Segundo os signatários, “os planos da Charter Communications de vender informações sobre as atividades online de seus clientes acendem diversas luzes vermelhas. Simplesmente prover um método para usuários sair do regime não é o mesmo que pedir aos usuários para afirmativamente concordar em participar do programa. Essas questões sobre privacidade e o quanto esse empreendimento está consistente com as leis de privacidade nas comunicações devem ser enfrentadas antes que a empresa siga adiante com seus planos."
Nesse momento entra em cena Robb Topolski, o mesmo que, também em 2008, provou que a Comcast estava ludibriando seus clientes e violando a neutralidade da rede, dessa vez como técnico responsável pela investigação da NebuAd promovida por Free Press e Public Knowledge, organizações não-governamentais de defesa dos direitos civis na internet. Em 18/06/09 Topolski divulga um relatório técnico intitulado “NebuAd and Partner ISPs: Wiretapping, Forgery and Browser Hijacking” que conclui que a NebuAd usa equipamento especial que “monitora, intercepta e modifica o conteúdo de pacotes da internet” à medida que os consumidores entram na internet.
Com um registro detalhado dos testes e análises realizados nas páginas dos usuários e dos provedores parceiros, o relatório afirma que “as práticas da NebuAd se parecem com diversas formas de ‘ataques’ em usuários que têm gerado considerável controvérsia e condenação pelos usuários”: seqüestro de navegador, ‘cross-site scripting’ (um tipo de ataque muito usado por cibercriminosos para roubar credenciais de forma extremamente sutil), numeração única do processador para identificar o usuário (realizada pela Intel em 1999), violação de privacidade tal qual a britânica Phorm, geração de perfis realizada em 2002 pela DoubleClick (empresa de anúncio online adquirida pela Google em 2008), ataque do ‘homem-no-meio’ (uma forma de escuta ativa, em que o atacante se põe entre dois interlocutores e se faz passar por um enquanto se comunica com o outro).
Enfim, Topolski conclui que a NebuAd explora os comportamentos de um navegador normal forjando pacotes do protocolo de internet, fazendo com que seus próprios códigos JavaScript sejam injetados no código fonte no qual o navegador confia. E para isso conta com a colaboração do provedor para empreender os ataques contra as intenções do consumidor, contra os projetistas do software do navegador, e contra os donos dos servidores que eles visitam. O código da página web é normalmente baixado completamente a partir de servidores para clientes sobre uma única conexão TCP, e uma vez que a página é baixada, o código obtido é executado pelo cliente.
A execução desse código é o que dispara as operações necessárias para baixar imagens e outros recursos da página, e esse código é considerado seguro porque supostamente veio de uma fonte confiada pelo usuário. Entretanto, o código da NebuAd injetado no código fonte de uma página de outrem é um ataque de ‘cross-site scripting’ (XSS), e o comportamento subseqüente de carregamento de cookies que normalmente não carregaria é um seqüestro do navegador. Isso significa que o que a NebuAd fazia era, na realidade, um ataque clássico conhecido como ‘homem-no-meio’.
Graças a Topolski, e para o bem da indústria e do consumidor, a NebuAd afinal se dissolveu.
PS: Ruy é professor associado do Centro de Informática da UFPE e escreve para o Blog sempre às segundas.
Blog de Jamildo (Jornal do Commercio Online, Recife),
Nenhum comentário:
Postar um comentário