){kind=link}
Uma pesquisa da empresa de cibersegurança Jscrambler identificou a Meta e o TikTok secretamente coletam dados pessoais de usuários. O problema estaria nos pixels de rastreamento em sites de empresas que utilizam seus serviços de anúncio, e afetam até mesmo dados bancários e comportamentais.
A coleta acontece mesmo quando o usuário recusa explicitamente o compartilhamento de informações. As falhas afetam mais de 12,6 milhões de servidores empresariais ativos ao redor do mundo.
smart_display
Nossos vídeos em destaque
O que é um pixel de rastreamento
Um pixel de rastreamento é um trecho de código JavaScript embutido em sites comuns. Ele fica ligado a uma imagem invisível de apenas um pixel. Quando o navegador da vítima carrega a página, o script é ativado. As informações coletadas são enviadas automaticamente para os servidores da Meta ou do TikTok.
Esse recurso foi criado para confirmar que um anúncio foi visualizado. Eles registravam visitas geradas por cliques em publicidade. O que a Jscrambler encontrou vai muito além disso.
O que é coletado
Os pixels capturam nome completo, endereço de e-mail, número de telefone e endereço físico da vítima. Eles também registram os últimos quatro dígitos do cartão de crédito, a data de validade e o nome do titular.
O comportamento de compra da vítima é mapeado em detalhe. Quais produtos foram vistos, quais foram adicionados ao carrinho, o valor total da compra e a moeda utilizada são todos registrados.
O pixel da Meta vai além. Ele registra a estrutura dos formulários de pagamento do site visitado. Isso inclui como as caixas de texto e os botões estão organizados na página.
Por que o consentimento não funciona
Quando a vítima acessa um site com pixel instalado, um aviso de consentimento aparece na tela. Esse aviso pergunta se a pessoa aceita o compartilhamento de dados. O problema é que o pixel já carregou antes que essa janela aparecesse. Os dados já foram enviados antes de qualquer escolha.
A pesquisa encontrou casos ainda mais graves. O pixel do TikTok continuou coletando dados mesmo depois de a vítima clicar em “Rejeitar Tudo”. Endereços físicos digitados em campos de busca de lojas na França e na Alemanha foram capturados após a recusa explícita.
Por que o hashing não protege?
Meta e TikTok afirmam que os dados são transformados antes de serem transmitidos. Esse processo se chama hashing, convertendo um dado em uma sequência de caracteres embaralhados. Um endereço de e-mail se torna algo como “5d41402abc4b2a76b9719d911017c592”.
O problema está na natureza do processo. O mesmo dado sempre gera o mesmo resultado. Se a Meta já tem o e-mail da vítima cadastrado no Facebook, ela poderia aplicar o mesmo processo e comparar os dois resultados.
A identificação é feita com precisão. A vítima pode nunca ter criado uma conta no site que visitou. Se ela tiver um perfil no Facebook, a Meta a identifica da mesma forma.
Os anunciantes também correm risco
Empresas que instalam esses pixels em seus sites assumem responsabilidade legal, já que elas permitiram que dados de seus clientes fossem coletados. Legislações como o GDPR, o CCPA e a LGPD responsabilizam quem cede os dados, não apenas quem os coleta.
Há um risco competitivo pouco discutido. Um varejista que instala o pixel da Meta alimenta os algoritmos da plataforma com informações sobre seus produtos. Ele entrega dados sobre seus preços e fornece o comportamento de compra de seus clientes. Esses mesmos algoritmos são usados por todos os concorrentes que anunciam na mesma plataforma.
Um caso que antecipa o futuro
O sistema hospitalar Mass General Brigham foi processado por uma situação parecida. Visitantes dos sites dos hospitais alegaram que pixels de terceiros coletavam seus dados sem aviso adequado. Em 2021, a instituição fechou um acordo de 18 milhões de dólares.
Os hospitais não hackearam ninguém. Nenhuma vítima sofreu dano direto comprovado. A responsabilidade veio apenas por não ter informado que as ferramentas estavam presentes.
O que as empresas podem fazer
A Jscrambler recomenda que as organizações analisem o comportamento real dos pixels durante a execução. Não basta ler a documentação fornecida pelas plataformas, já que o recurso Automatic Events da Meta vem ativado por padrão.
Ele captura dados de formulários de pagamento automaticamente. Ele precisa ser desativado manualmente por quem não quer coletar essas informações.
Monitorar mudanças no comportamento dos scripts ao longo do tempo também é necessário. Ferramentas de terceiros podem começar a coletar mais dados do que o previsto sem que o operador do site perceba.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.