Segurança do Usuário: Cuidado ao fazer login usando Google ou Facebook. Veja como evitar que facilidade vire risco na internet

Embora seja conveniente, acessar sites novos a partir de contas preexistentes pode deixar você mais suscetível a rastreamento de dados e fraudes do tipo ‘phishing’

Você provavelmente já cruzou com botões que oferecem uma alternativa tentadora: a possibilidade de fazer login em um site a partir de uma conta pré-existente. Pode ser Google, Facebook, Apple, Microsoft… A lista é longa. Eles são fáceis de usar, garantem acesso rápido ao conteúdo desta página nova e, de quebra, eliminam o fardo de memorizar mais uma senha. Parece um bom negócio, certo? Opa, nem sempre.

Para especialistas consultados pelo Estadão, esse tipo de acesso – chamado de Open Authorization (OAuth) ou autorização aberta – permite que grandes empresas de tecnologia, como as citadas acima, rastreiem usuários com maior facilidade e precisão. Detalhe: com o seu consentimento.

“Geralmente, a companhia que tem seu cadastro prévio também acessa automaticamente o que você faz dentro desse outro espaço”, explica Bruno Bioni, diretor-fundador do Data Privacy Brasil e professor da Escola Superior de Propaganda e Marketing (ESPM). Isso acontece por meio de cookies de análise e de publicidade, aqueles que acompanham sua navegação pela internet. Segundo Bioni, isso explica em parte por que determinadas empresas de tecnologia detêm fatias enormes dos cookies de terceiros – ou rastreadores – por toda a web.

Esse é o caso do Google, por exemplo, que diz que os cookies de análise “ajudam a coletar dados que permitem entender como você interage com um serviço específico”.

De acordo com um estudo de 2020 da Ghostery, uma popular extensão de navegador quando o assunto é privacidade, o Google lidera a lista dos principais rastreadores na internet, monitorando mais de 80% dos sites no mundo. Em seguida, aparecem o Facebook, com quase 25%, e a Amazon, com 19%.

Além dos cookies, outras ferramentas entram na conta, como localização por GPS, endereço de e-mail e sistemas operacionais de telefone. O Android, por exemplo, também é do Google.

Mas por que somos rastreados? De acordo com as políticas de privacidade dessas empresas de tecnologia, nossa atividade online é fundamental para o direcionamento de publicidade personalizada e para o aprimoramento da experiência de navegação. É assim que sabemos que uma passagem aérea entrou em promoção ou que existe demanda por um novo serviço.

O problema aparece quando informações pessoais são utilizadas para fins mais complicados. Em 2019, por exemplo, o Facebook foi multado em US$ 5 bilhões após a consultoria Cambridge Analytica acessar dados de mais de 87 milhões de usuários da rede social e usá-los para rastrear eleitores. Em 2021, o Facebook mudou de nome para Meta. “O prejuízo é para as empresas e para nós, já que temos muitas informações sob custódia delas. Essa concentração de dados, em vez da pulverização que acontece quando criamos um login próprio para cada serviço, nos coloca em uma situação de vulnerabilidade maior”, afirma Bioni.

Os próprios botões de login podem ser fraudados por hackers e golpistas de engenharia social do tipo “phishing” (termo do inglês que deriva de “pesca”), que tentam “fisgar” uma vítima através de links enganosos. No caso específico da criação de um falso OAuth, o usuário digita os dados de acesso e todas informações param nas mãos de criminosos, que entram não só na conta original, mas em todas as outras vinculadas a ela.

“A partir daí, você não tem mais controle. Esses hackers podem acessar suas outras contas, seus e-mails e até sua conta bancária, porque, hoje, tudo está interligado”, alerta Leonardo Naressi, presidente do Tech Lab do IAB Brasil e co-CEO da DP6 Consultoria. “É possível fazer uma bagunça só com o e-mail de alguém, imagina com uma conta que armazena tantas outras.”

A OUTRA PONTA

Nessa dinâmica, não são só os provedores de identidade que acessam seus dados: o site terceiro também pode ter informações que você não gostaria que fossem compartilhadas.

A título de exemplo: uma popular plataforma de design gráfico permite o login OAuth com uma conta Google. Em um primeiro momento, os dados compartilhados são nome, endereço de e-mail, idioma preferido e foto do perfil. A plataforma, porém, oferece a possibilidade de importar apresentações diretamente do Google Drive, um serviço de armazenamento em nuvem.

“É possível fazer uma bagunça só com o e-mail de alguém, imagina com uma conta que armazena tantas outras” Leonardo Naressi, Presidente do Tech Lab do IAB Brasil

Para isso, um novo aviso aparece: “Isso permitirá ao app as seguintes ações: Ver, editar, criar e excluir todos os seus arquivos do Google Drive”. Ou seja, a plataforma terá acesso não só às apresentações de slides, mas a tudo que está armazenado na nuvem, como documentos pessoais, fotos, dados bancários, relatórios médicos, vídeos da sua família e até informações sigilosas da empresa para a qual você trabalha. Mas essa plataforma não é a única a fazer isso, fique atento.

Isso também acontece com extensões de navegadores. Um relatório da McAfee de setembro do ano passado mostrou como algumas delas são capazes de rastrear nossa navegação – e até modificar cookies de sites específicos para que os criadores da extensão recebam uma “comissão” em dinheiro a cada compra feita pelo usuário.

Para a advogada Erica Bakonyi, quando usamos um serviço e concordamos com os termos ali dispostos, temos uma sensação de controle sobre o que fazemos e para quem damos nossos dados. “O problema é: até que ponto uma pessoa comum se debruça sobre essas questões? O quanto ela sabe sobre as políticas de privacidade e sobre o compartilhamento dos próprios dados com terceiros?”, questiona a consultora em projetos sobre a Lei Geral de Proteção de Dados (LGPD) e pesquisadora da Fundação Getulio Vargas (FGV).

Ao Estadão, Google e Facebook preferiram se manifestar enviando suas políticas de privacidade. O gigante de buscas descreve como usa nossos dados de forma didática e setorizada, além de direcionar links para que gerenciemos o que é compartilhado. A Meta faz o mesmo, embora de forma menos detalhada.

AFINAL, O QUE FAZER?

• Desconfie de sites suspeitos ou que você nunca acessou antes

• Verifique quais informações são compartilhadas com o site terceiro no momento em que você opta por um login OAuth

• Aposte em um gerenciador de senhas

• Gerencie todos os acessos vinculados à conta original. No Google, faça login e acesse o centro de permissões. No Facebook, veja o Central de Contas.

Fonte: Estadão (23/09/2023)