Um recente vazamento de dados no Instagram, por meio de uma backdoor, revela que crianças tiveram seus dados de contato expostos na internet.
David Stier, um cientista de dados americano que descobriu primeiro a brecha no Instagram, estima que até 5 milhões de crianças tiveram detalhes pessoais expostos na rede social.
A Comissão de Proteção de Dados (Data Protection Commissioner, DPC) da Irlanda iniciou duas investigações separadas sobre a exposição de dados de endereço de e-mails e números de telefone de usuários menores de 18 anos.
Todos os usuários do Instagram podem mudar suas contas pessoais do Instagram para aquelas projetadas para empresas, as contas comerciais, o que, ao contrário dos perfis pessoais, fornecem estatísticas sobre a popularidade de suas fotos e vídeos. Mas essa mudança expõe também dados de contato.
O Instagram tem idade mínima de 13 anos, mas não verifica apropriadamente as idades, e mais de uma em cada cinco crianças entre 8 e 12 no Reino Unido, de acordo com o Ofcom, utiliza o aplicativo. Então é provável que o aplicativo também revele detalhes de contato para usuários ainda mais jovens.
Até recentemente, o Instagram exigia que todas as contas comerciais mostrassem um número de telefone ou endereço de e-mail, para que os usuários não pudessem optar por não exibir suas informações de contato. Ele ainda permite que qualquer pessoa abra uma conta comercial, sem verificação se a pessoa está realmente administrando um negócio.
O aplicativo também não oculta os números de telefone e endereços de e-mail, como fazem a maioria dos grandes serviços online, como o Airbnb e o Uber por exemplo. Até o ano passado, a informação também era incluída na versão web do Instagram, com essa vulnerabilidade que permitia que qualquer pessoa “capturasse” automaticamente os detalhes de contatos em massa.
Recent Instagram data leak reveals ‘backdoor’ feature exposing kids’ phone # and email in plain sight to 1B users https://t.co/wPeViH8w9R pic.twitter.com/l6Rraa5HDy
— Brigid Kaye (@CreativeCharact) August 8, 2019
O Facebook, empresa dona do Instagram, pode enfrentar uma enorme multa por violação de privacidade depois que seu chefe de vigilância de dados europeu lançou investigações sobre como o Instagram expôs os detalhes de contato de milhões de crianças.
Se ficar provado que o Instagram violou as leis de privacidade, o regulador irlandês tem o poder de multar em bilhões de dólares a empresa de Zuckeberg.
O regulador irlandês lançou suas investigações no final de setembro, após uma reclamação de Stier. A primeira investigação se concentrará no design das configurações da conta do Instagram, examinando se o aplicativo promove a privacidade dos usuários, especialmente no que diz respeito às crianças. O segundo enfocará o recurso de contas de negócios e se é apropriado que a opção exiba os detalhes de contato das crianças.
De acordo com as leis europeias de proteção de dados (GDPR), cada investigação pode resultar em uma penalidade de até 4% da receita anual do Facebook. Com base nas vendas do ano passado, as consultas combinadas têm uma multa máxima teórica de US$ 5,7 bilhões (£ 4,4 bilhões), embora, na realidade, qualquer multa provavelmente será significativamente menor.
Cyrela é multada no Brasil por desrespeitar a LGPD
Graham Doyle, um vice-comissário do DPC, disse:
“O DPC tem monitorado ativamente as reclamações recebidas de indivíduos nesta área e identificou potenciais preocupações em relação ao processamento de dados pessoais de crianças no Instagram que requerem um exame mais aprofundado.”
O Sr. Stier disse ao The Telegraph que
“o Instagram tinha enormes recursos à sua disposição, mas este incidente mostra que eles tinham níveis lamentavelmente baixos de empatia, consciência de segurança e cuidado com seus usuários”.
O Instagram mudou desde então as contas comerciais para que os usuários tenham que optar por revelar seus detalhes de contato. Um porta-voz do Facebook disse:
“Estamos em contato próximo com o IDPC e estamos cooperando com suas pesquisas”.
Depois que essa história foi publicada no The Telegraph, o porta-voz acrescentou:
“Sempre deixamos claro que, quando as pessoas optam por criar uma conta comercial no Instagram, as informações de contato que compartilham seriam exibidas publicamente. Isso é muito diferente de expor as informações das pessoas.”
Fonte: The Telegraph
——- // ——-
Atualização: 21/10/2020
O PROCON-SP, no dia 20 de outubro, motivado pelo alerta informado no site britânico The Telegraph, notificou o Instagram para responder por possível exposição de dados sensíveis de brasileiros. O Brasil também possui seu código de proteção a dados e a privacidade: A Lei Geral de Proteção de Dados (LGPD), por isso o PROCON procurou os escritórios do Instagram no Brasil para solicitar esclarecimentos.
O Instagram deverá explicar se essa falha afetou brasileiros e, em caso positivo, quantos foram atingidos e quais providências a empresa tomou. O PROCON-SP ainda quer saber se a companhia já se adequou à LGPD que está em vigor desde o mês passado. Um dos requisitos para a adequação é que dados de brasileiros devem ser hospedados em território nacional. Outro requisito é saber que informações e publicações dos usuários o Instagram mantém em seus servidores, com qual finalidade e por quanto tempo. Vale lembrar que a LGPD tem como objetivo tornar mais transparente o processo de armazenamento de dados pessoais por empresas. Além disso, os cidadãos têm o direito de revogar o acesso a essas informações a qualquer momento.
O Instagram ainda não se pronunciou e tem o prazo de 72 horas para responder aos questionamentos do PROCON de São Paulo.