A Agência de Segurança Nacional dos EUA (NSA) admitiu a compra de registros de navegação na internet de corretores de dados para identificar sites e aplicativos usados por americanos que, de outra forma, exigiriam uma ordem judicial, disse o senador dos EUA, Ron Wyden, na semana passada.
"O governo dos EUA não deveria estar financiando e legitimando uma indústria obscura cujas violações flagrantes da privacidade dos americanos não são apenas antiéticas, mas ilegais", disse Wyden em uma carta à Diretora de Inteligência Nacional (DNI), Avril Haines, além de instar o governo a tomar medidas para "garantir que as agências de inteligência dos EUA só comprem dados sobre americanos que tenham sido obtidos de maneira legal."
Os metadados sobre os hábitos de navegação dos usuários podem representar um risco à privacidade, pois as informações poderiam ser usadas para obter detalhes pessoais com base nos sites que eles frequentam.
Isso pode incluir sites que oferecem recursos relacionados à saúde mental, assistência a sobreviventes de abuso sexual ou doméstico e provedores de telemedicina que se concentram em controle de natalidade ou medicamento para aborto.
Em resposta às perguntas de Wyden, a NSA disse que desenvolveu regimes de conformidade e que "toma medidas para minimizar a coleta de informações de pessoas dos EUA" e "continua a adquirir apenas os dados mais úteis relevantes para as necessidades da missão".
A agência, no entanto, disse que não compra e usa dados de localização coletados de telefones usados nos EUA sem uma ordem judicial.
Também disse que não usa informações de localização obtidas de sistemas telemáticos de automóveis de veículos localizados no país.
Ronald S.
Moultrie, subsecretário de defesa para inteligência e segurança (USDI&S), disse que os componentes do Departamento de Defesa (DoD) adquirem e usam informações comercialmente disponíveis (CAI) de maneira que "adere a altos padrões de privacidade e proteções aos direitos civis" em apoio a missões legais de inteligência ou cibersegurança.
A revelação é mais uma indicação de que as agências de inteligência e aplicação da lei estão comprando dados potencialmente sensíveis de empresas que exigiriam uma ordem judicial para adquiri-los diretamente de empresas de comunicação.
No início de 2021, foi revelado que a Agência de Inteligência de Defesa (DIA) estava comprando e usando dados de localização doméstica coletados de smartphones por meio de corretores de dados comerciais.
A divulgação sobre a compra sem mandado de dados pessoais chega após a Comissão Federal de Comércio (FTC) proibir a Outlogic (anteriormente X-Mode Social) e a InMarket Media de venderem informações precisas de localização a seus clientes sem o consentimento informado dos usuários.
A Outlogic, como parte de seu acordo com a FTC, também foi impedida de coletar dados de localização que poderiam ser usados para rastrear visitas de pessoas a locais sensíveis como clínicas de saúde e reprodutiva, abrigos para abusos domésticos e locais de culto religioso.
A compra de dados sensíveis dessas "empresas obscuras" existia em uma área cinzenta legal, observou Wyden, acrescentando que os corretores de dados que compram e revendem esses dados não são conhecidos pelos consumidores, que muitas vezes são mantidos no escuro sobre com quem seus dados estão sendo compartilhados ou onde estão sendo usados.
Outro aspecto notável dessas práticas obscuras de dados é que aplicativos de terceiros que incorporam kits de desenvolvimento de software (SDKs) desses corretores de dados e fornecedores de tecnologia de publicidade não notificam os usuários sobre a venda e compartilhamento de dados de localização, seja para publicidade ou segurança nacional.
"De acordo com a FTC, não basta um consumidor consentir que um aplicativo ou site colete esses dados, o consumidor deve ser informado e concordar que seus dados sejam vendidos para 'contratados governamentais para fins de segurança nacional'", disse o Democrata do Oregon.
"Não tenho conhecimento de nenhuma empresa que forneça tais avisos aos consumidores antes de coletar seus dados.
Como tal, a violação da lei é provavelmente generalizada na indústria e não se limita a este corretor de dados em particular."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...