Meio Bit » Mobile » Grindr, um padre e o compartilhamento de dados "anonimizados"

Grindr, um padre e o compartilhamento de dados "anonimizados"

Exposição de padre católico como usuário do Grindr mostra que compartilhamento de dados anonimizados não é tão segura quanto dizem

3 anos atrás

O Grindr, um popular app de encontros para a comunidade LGBTQIA+, é o centro de uma polêmica de exposição de dados de usuários, em que um padre da Igreja Católica foi descoberto como usuário, e afastado de suas funções.

O problema reside no fato de que os dados do clérigo foram conseguidos de forma legal, segundo publicação que revelou o "desvio de conduta religiosa", revelando que o compartilhamento de informações anonimizadas, que é permitido, não é tão seguro e irrastreável quanto se pensava.

Padre usando smartphone (Crédito: Pascal Deloche/Getty Images)/grindr

Padre usando smartphone (Crédito: Pascal Deloche/Getty Images)

Para quem não lembra, o Grindr é um dos mais antigos apps dedicado a relacionamentos, tendo precedido o Tinder em 3 anos (2009 vs. 2012), e nasceu voltado para a comunidade gay. com o tempo ele foi expandido para uso por mais pessoas da comunidade LGBTQIA+ e por muito tempo, foi referência do setor. Todos os que vieram depois, incluindo o acima citado, imitaram o Grindr de alguma forma.

De lá para cá ele expandiu para o formato de plataforma, mas também foi acusado de ser uma plataforma de espionagem, quando passou a ser controlado por um grupo chinês. Em 2020 a Beijing Kunlun Tech vendeu o Grindr para um grupo de investimentos dos Estados Unidos, embora ele ainda tenha ligações com os antigos donos.

Tirando a velha paranoia de que gays são uma ameaça à Segurança Nacional, o Grindr não fez muito por sua imagem quando descobriram que a plataforma usava um hash simples para passar o UserID entre páginas, e um hack expôs dados de mais de 100 mil usuários.

O grande problema envolvendo o app, no entanto, é o fato de que seus Termos de Serviços preverem que os dados dos usuários, mesmo os bens sensíveis, como quem é HIV-soropositivo, são compartilhados com parceiros comerciais.

O Grindr sempre afirmou que os dados "não são públicos", o que é verdade, mas no momento em que qualquer potencial investidor pode ter acesso a eles, a coisa fica feia. Em sua defesa, a companhia dizia que as informações sensíveis são anonimizadas, ou seja, não são passíveis de rastreamento e os usuários não poderiam ser identificados, o que o caso mais recente mostra que não é bem assim que a banda toca.

Na última terça-feira (20) o veículo de mídia The Pillar, voltado a notícias referentes à Igreja Católica Apostólica Romana (ICAR), publicou uma reportagem revelando que o monsenhor Jeffrey Burrill, secretário-geral da Confederação dos Bispos Católicos dos EUA (USCCB), a versão norte-americana da CNBB, seria usuário do Grindr, tendo usado o app para marcar encontros e frequentava bares gays.

A notícia caiu como uma bomba, visto que Burrill ocupava uma posição de renome na maior organização católica do país, ainda mais por não ser bispo (monsenhor é um título concedido pelo papa a padres que prestam serviços importantes à Igreja, como executivos ou diplomatas, ou pelo histórico), e o clérigo não só teria infringido o celibato, mas ter uma orientação não-heterossexual ainda é uma ofensa dentro da ICAR.

Interface do Grindr (Crédito: Divulgação/Grindr LLC)

Interface do Grindr (Crédito: Divulgação/Grindr LLC)

As consequências vieram a cavalo, e foram aplicadas mais rápido do que o Vaticano avalia as denúncias sobre pedofilia que se acumulam: Burrill foi afastado do cargo de secretário da USCCB e do sacerdócio como um todo, o que está sendo entendido como perseguição e homofobia por grupos de direitos LGBTQIA+.

A partir daqui as coisas ficaram bem feias. O The Pillar defende a investigação realizada que jogou o Mons. Burrill na fogueira, se baseando no argumento de que ele "se desviou da conduta" esperada de um sacerdote, mas o problema maior foi quando o site informou que os dados foram conseguidos e rastreados de forma legal.

Operadoras vendem dados de geolocalização para parceiros comerciais diversos, até mesmo caçadores de recompensas e investigadores privados conseguem acessá-los e rastrear indivíduos, e com o Grindr não foi diferente. A investigação do The Pillar revelou que Burrill usou o app entre 2018 e 2019, e conseguiu identificar lugares como residências pessoais dele e de membros de sua família, a casa em que ele morava cedida pelo USCCB e o escritório do órgão, e pontos onde ele teria marcado encontros, como bares.

O veículo não diz como conseguiu os dados, mas afirma ter cruzado referências de "registros de dados comerciais disponíveis" com um dispositivo que acredita-se que seja o celular do Mons. Burrill, o que pode ser apontado como um caso de hacking e invasão de privacidade. A defesa, como já dito, é a de que o padre não cumpriu com seus deveres e não respeitou as diretrizes da ICAR, de modo a justificar o ato.

Alan Butler, diretor executivo da EPIC.org (Electronic Information Privacy Center), um centro de pesquisa independente de defesa da privacidade digital e direitos humanos, disse ao site Ars Technica que o caso do Mons. Burrill é um exemplo flagrante daquilo que todos os profissionais de segurança vem alertando ao mundo durante anos: nenhum dado anonimizado é 100% anônimo, e pode ser facilmente rastreado e identificado, quando quem busca sabe o que está fazendo.

Para Butler, a promessa de anonimizar dados que as plataformas oferecem aos usuários, por força de lei, é insuficiente para garantir a privacidade dos indivíduos, dado que identificadores diversos ainda podem ser isolados e conectados a referências por profissionais. Embora o Grindr não seja responsável direto, é fato que ele também não dificultou as coisas.

No mais, as coisas podem mudar no futuro: a ordem executiva assinada pelo presidente dos EUA Joe Biden, prevê o endurecimento nas regras sobre a coleta, tratamento, compartilhamento e/ou venda de dados de usuários, de forma que eles possam ser realmente anonimizados, como forma de garantir a segurança dos indivíduos.

Fonte: The Washington Post, Ars Technica

relacionados


Comentários