Um aplicativo móvel que permite aos usuários enviar mensagens de fotos e vídeos que os destinatários podem ver por um momento antes que o conteúdo seja, de fato, levado pelo vento? Scarlett O’Hara poderia ter declarado seu amor por Rhett Butler (ou Ashley Wilkes), confiante de que a mensagem era efêmera. É claro que os moradores de Tara não tinham acesso ao popular aplicativo Snapchat, que afirmava fazer exatamente isso. Mas, de acordo com um acordo da FTC, a promessa da empresa de que as mensagens do Snapchat “desapareceriam para sempre” provou ser mais passageira do que as próprias mensagens. Além do mais, o processo alega que o Snapchat não contou às pessoas a história direta sobre as informações coletadas pelo aplicativo.
As pessoas usam o Snapchat todos os dias para enviar milhões de “snaps”. Antes de enviar uma foto ou vídeo, o usuário pode selecionar o período de tempo – entre 1 segundo e 10 segundos – em que o destinatário poderá visualizar o instantâneo. Segundo a empresa, “eles terão esse tempo para ver sua mensagem e então ela desaparecerá para sempre”. Entre outubro de 2012 e outubro de 2013, o Snapchat reforçou essa afirmação com esta declaração em suas FAQS:
Existe alguma maneira de visualizar uma imagem após o tempo expirar?
Não, os instantâneos desaparecem depois que o tempo acaba.
Mas houve um grande problema. Apesar da promessa da empresa, havia várias maneiras fáceis de os destinatários – mesmo aqueles que não eram particularmente conhecedores de tecnologia – salvarem essas mensagens. Um método simples: quando um destinatário recebia uma mensagem de vídeo, o Snapchat armazenava o arquivo em um local fora da “sandbox” do aplicativo, a área de armazenamento privada do dispositivo que outros aplicativos não podem acessar. Como o arquivo estava em um local irrestrito, o destinatário poderia conectar seu dispositivo a um computador e usar ferramentas simples de navegação para localizar e salvar o vídeo. Esse método foi amplamente divulgado já em dezembro de 2012, mas a FTC diz que o Snapchat só corrigiu a falha quase um ano depois, quando começou a criptografar os arquivos de vídeo enviados pelo aplicativo.
Essa não foi a única maneira fácil de salvar instantâneos. Outros desenvolvedores começaram a oferecer aplicativos que poderiam se conectar à interface de programação de aplicativos – API do Snapchat. Isso permitiu que os destinatários fizessem login no Snapchat sem usar o aplicativo da empresa, ignorando completamente o cronômetro e as funções de exclusão. De acordo com a FTC, isso não foi uma surpresa para o Snapchat. Já em junho de 2012, um pesquisador de segurança alertou a empresa que, devido ao modo como a API do aplicativo funcionava, seria “muito fácil escrever uma ferramenta para baixar e salvar as imagens que um usuário recebe”. Na primavera de 2013, aplicativos como esse estavam prontamente disponíveis – e eram muito populares – na iTunes App Store e no Google Play.
A FTC afirma que houve outro problema com o que o Snapchat disse sobre seu aplicativo. É fácil fazer uma captura de tela para capturar uma imagem, incluindo um instantâneo durante o breve período em que ela está visível. Então, o Snapchat disse aos usuários “Avisaremos se (o destinatário) fizer uma captura de tela!” Mas, de acordo com a denúncia, houve uma solução simples para evitar isso. Nas versões anteriores do iOS, tudo o que o destinatário precisava fazer era clicar duas vezes no botão Home do dispositivo para tirar uma captura de tela sem que o remetente fosse notificado. Chega de “Nós avisaremos você. . .”
Outra parte do caso da FTC trata de declarações supostamente falsas que o Snapchat fez sobre o que fez com informações pessoais. Por exemplo, entre junho de 2011 e fevereiro de 2013, a empresa disse aos usuários: “Não solicitamos, rastreamos ou acessamos qualquer informação específica de localização do seu dispositivo em nenhum momento enquanto você estiver usando o aplicativo Snapchat”. Mas em outubro de 2012, o Snapchat adicionou um serviço de rastreamento analítico à versão Android de seu aplicativo que coletava informações de geolocalização. Embora o sistema Android tenha avisado aos consumidores que o aplicativo pode acessar dados de localização, o Snapchat continuou até fevereiro de 2013 a informar às pessoas que seu aplicativo não “pedia, rastreava ou acessava qualquer informação específica de localização” quando, na verdade, era transmitir informações de geolocalização ao seu provedor de análise.
A FTC também acusou o que o Snapchat disse aos consumidores sobre seu recurso “Encontrar amigos” era enganoso. Durante o registro, o aplicativo solicitava que as pessoas “Digitem o número do seu celular para encontrar seus amigos no Snapchat!” A FTC afirma que sugeriu aos usuários que o número de telefone era a única informação coletada pelo Snapchat para encontrar amigos. Na verdade, quando as pessoas usavam o recurso, o Snapchat coletava os nomes e números de telefone de todos os contatos da agenda do usuário. Os usuários só foram notificados dessa prática de coleta mais tarde, quando o sistema operacional iOS foi atualizado para fornecer notificação quando um aplicativo acessasse o catálogo de endereços do usuário.
Além disso, a reclamação alega que o Snapchat não projetou seu recurso Encontrar amigos pensando na segurança. Durante um período de 15 meses, começando em setembro de 2011, o Snapchat não conseguiu verificar se o número de telefone inserido por um usuário iOS no aplicativo realmente pertencia a esse dispositivo móvel. Como resultado, uma pessoa poderia criar uma conta – e assim enviar e receber instantâneos – usando o número de telefone de outra pessoa. O Snapchat recebeu uma bronca de alguns consumidores que reclamaram que contas associadas aos seus números de telefone foram usadas para enviar instantâneos inapropriados ou ofensivos.
Além disso, a FTC afirma que a falha do Snapchat em proteger seu recurso Find Friends resultou em uma violação de segurança que permitiu aos invasores compilar um banco de dados de 4,6 milhões de nomes de usuários e números de telefone do Snapchat.
Você vai querer ler a reclamação e a ordem proposta para obter os detalhes, incluindo as disposições que o Snapchat concordou em implementar para resolver o processo. Que dicas outras empresas podem tirar deste caso?
- Fique atento quando pessoas confiáveis levantarem preocupações. O Snapchat não é a primeira empresa a receber um alerta antecipado de um pesquisador de segurança sobre uma falha de privacidade em seu produto. Certamente, o cenário preferido é se falhas forem detectadas antes de você ir ao mercado. Mas a próxima melhor coisa é monitorar o que as pessoas estão dizendo sobre o seu produto e agir o mais rápido possível se falhas vierem à tona.
- Pense em como as alterações propostas afetam as promessas de privacidade que você já fez. O Snapchat disse às pessoas que não coletava informações de geolocalização, mas depois adicionou um serviço de rastreamento analítico que fazia exatamente isso. Se você decidir modificar seu produto ou práticas, lembre-se de que não está escrevendo em uma folha em branco. Os desenvolvedores de aplicativos experientes entendem por que é mais sensato obter o consentimento expresso dos usuários antes de fazer alterações materiais.
- As promessas de privacidade não são apenas conversa de marketing. Quer se trate do que seu aplicativo pode fazer ou de suas práticas de coleta de informações, afirmações objetivas acionam padrões federais de verdade na publicidade. De acordo com a FTC, o Snapchat disse que as fotos e vídeos desapareceriam com o vento, mas não cumpriu a promessa. A mensagem para as empresas: quando se trata de alegações enganosas sobre a privacidade do consumidor, francamente, meus queridos, nós fazer dou a mínima.
Você pode registrar um comentário on-line sobre o acordo proposto até 9 de junho de 2014.
