Por apenas US$ 0,12 por registro, corretores de dados nos Estados Unidos estão vendendo dados privados sobre militares da ativa e veteranos, incluindo seus nomes, endereços residenciais, localização geográfica, patrimônio líquido e religião, além de informações sobre seus filhos e condições de saúde.
Em um estudo publicado no final de outubro, pesquisadores da Duke University abordaram 12 corretores e perguntaram o que seria necessário para comprar esse tipo de informação; eles acabaram comprando milhares de registros sobre membros do serviço militar americano, descobrindo que muitos corretores se ofereciam para vender os dados com uma avaliação mínima e estavam dispostos a negociar com compradores usando domínios de e-mail tanto nos EUA, quanto na Ásia.
O estudo de um ano, que foi financiado em parte pela Academia Militar dos EUA em West Point, destaca os riscos extremos à privacidade e à segurança nacional criados pelos corretores de dados. Essas empresas fazem parte de um setor obscuro de vários bilhões de dólares que coleta, agrega, compra e vende esses dados, práticas que atualmente são legais nos EUA. Muitos corretores anunciam que têm centenas de pontos de dados individuais sobre cada pessoa em seu banco, e o setor tem sido criticado por exacerbar a erosão da privacidade pessoal e do consumidor.
Os pesquisadores dizem que ficaram “chocados” com a facilidade com que conseguiram obter dados altamente confidenciais sobre membros das forças armadas. “Na prática, parece que qualquer pessoa com um endereço de e-mail, uma conta bancária e algumas centenas de dólares poderia obter o mesmo tipo de dados que nós obtivemos”, diz Hayley Barton, coautora do estudo e pesquisadora estudante de pós-graduação.
Os autores esperam que o estudo sirva de alerta para os legisladores dos Estados Unidos e pedem ao Congresso que aprove uma lei de privacidade abrangente que restrinja o setor de corretores de dados.
“O que realmente precisamos é de regulamentação desse ecossistema”, diz o principal autor do relatório, o pesquisador de privacidade Justin Sherman. “No final das contas, esse é um problema do Congresso, pois precisamos de novas autoridades legais para lidar com esses riscos e as agências reguladoras precisam de mais recursos.”
A senadora Elizabeth Warren, que analisou o relatório e faz parte do Comitê de Serviços Armados do Senado dos EUA, concorda amplamente. “Os corretores de dados estão vendendo informações confidenciais sobre os membros do serviço e suas famílias por centavos, sem considerar os sérios riscos à segurança nacional”, disse Warren, democrata de Massachusetts, em uma declaração à MIT Technology Review. “Este relatório deixa claro que precisamos de grades de proteção reais para preservar os dados pessoais dos membros do serviço, veteranos e suas famílias.”
Venda de informações confidenciais
O perigo representado pelos dados disponíveis comercialmente sobre os militares da ativa não é um problema novo. Em 2018, por exemplo, dados sobre rotas de corrida registrados no aplicativo de rastreamento de condicionamento físico Strava revelaram a localização de bases militares dos EUA e rotas de patrulha no exterior.
Os pesquisadores da Duke já haviam se deparado com corretores de dados anunciando a venda de informações sobre militares, diz Sherman, por isso queriam avaliar os riscos de segurança nacional desse setor.
Sherman também observa que os corretores de dados afirmam ter fortes processos de verificação que impedem que os dados sejam vendidos a criminosos ou a terceiros perigosos e que garantem que os dados que vendem sejam usados de forma responsável. Mas sua pesquisa mostrou que isso é a exceção, não a regra.
Primeiro, a equipe fez uma varredura na Web para ter uma visão de quantos dos milhares de corretores de dados nos EUA anunciam a disponibilidade de dados pessoais sobre os membros do serviço militar do país. A equipe encontrou “7.728 ocorrências para a palavra ‘militar’ e 6.776 ocorrências para a palavra ‘veterano’ em 533 sites de corretores de dados”, de acordo com o artigo. Os principais corretores de dados, incluindo Oracle, Equifax, Experian, CoreLogic, LexisNexis e Verisk, anunciavam dados relacionados a militares.
Em seguida, os pesquisadores entraram em contato com 12 desses corretores sobre a compra dos dados. Eles “descobriram uma falta de controles robustos ao perguntar a alguns corretores sobre a compra de dados das forças armadas dos EUA e ao comprar dados de alguns corretores, como verificação de identidade, verificação de antecedentes ou controles de detetive para verificar os usos pretendidos para os dados adquiridos”. (Os pesquisadores não identificam os corretores que contataram, mas dizem que aderiram a todas as políticas de conformidade de pesquisa da Duke University).
Embora alguns corretores tivessem controles em vigor — dois dos 12 se recusaram a fazer a venda, porque não estavam convencidos de que os pesquisadores tinham uma empresa verificada —, muitas das empresas não tinham. Na verdade, um corretor que eles contataram disse que os pesquisadores poderiam evitar uma verificação de antecedentes se pagassem pelos dados por transferência eletrônica em vez de cartão de crédito.
Em uma descoberta particularmente perturbadora, um dos corretores chegou a vender dados sobre a idade e o sexo dos filhos de militares da ativa que moravam em Washington, DC, Maryland e Virgínia, e se eles tinham filhos morando em suas casas. Esse conjunto de dados, que também incluía os endereços residenciais dos membros, foi vendido aos pesquisadores quando eles solicitaram informações de domínios baseados nos EUA e na Ásia.
Tanto Sherman quanto Sarah Lamdan, professora de direito da City University of New York e autora de Data Cartels, um livro sobre o setor, afirmam que as práticas observadas pelos pesquisadores parecem legais e que a venda de dados sobre crianças não viola a Children’s Online Privacy Protection Act (Lei de Proteção à Privacidade On-line de Crianças), comumente conhecida como COPPA, uma lei que trata de dados sobre a atividade on-line de menores.
Vários corretores também solicitaram que os pesquisadores assinassem contratos de confidencialidade. “Forçar os clientes a assinarem NDAs (sigla para contrato de confidencialidade em inglês) não é apenas uma falta de transparência sobre o que está acontecendo com nossos dados”, diz Lamdan. “Em vez disso, é um véu de sigilo que os corretores de dados estão criando em torno de suas práticas e dos enormes volumes de nossos dados que estão vendendo para quem quiser comprá-los.”
No final, os pesquisadores compraram oito conjuntos de dados de três corretores, cada um contendo entre 4.951 e 15 mil registros identificáveis, por meio de endereços de e-mail com domínios baseados nos EUA e na Ásia. O custo final foi de US$ 0,12 a US$ 0,32 por registro para cada membro do serviço. Os pesquisadores não assinaram nenhum contrato de confidencialidade.
A possível ameaça do exterior
Para determinar o escopo do risco à segurança nacional, os pesquisadores queriam testar especificamente se os corretores venderiam dados a compradores fora dos EUA.
Usando um nome de domínio e endereço de e-mail .asia e um endereço IP de Cingapura, eles conseguiram obter informações identificadas individualmente sobre membros do serviço ativo e dados sobre seu estado civil, status de proprietário/locatário, etnia, idioma, religião e classificação de crédito, entre muitos outros pontos de dados.
De acordo com o documento, os corretores falharam em grande parte em examinar os pesquisadores quando eles solicitaram informações de um e-mail baseado na Ásia, da mesma forma que não o fizeram quando os pesquisadores solicitaram informações de um domínio baseado nos EUA. Um corretor restringiu alguns campos de dados quando a solicitação veio do domínio .asia em vez do domínio dos EUA, mas a maioria dos corretores respondeu de forma semelhante, independentemente da origem da consulta.
“Conseguimos comprar dados de corretores sem qualquer verificação, mesmo que fossem de membros das forças armadas, mesmo que estivéssemos usando um domínio .asia, mesmo que quiséssemos que os dados fossem enviados para fora do país”, diz Sherman — uma descoberta que ele considera “realmente preocupante”.
O Departamento de Defesa dos EUA não respondeu às nossas várias solicitações de comentários.
Em uma declaração à MIT Technology Review, o senador Ron Wyden, que faz parte do Comitê de Inteligência do Senado americano, concordou com Sherman. “As descobertas dos pesquisadores devem ser um alerta para os formuladores de políticas de que o setor de corretagem de dados está fora de controle e representa uma séria ameaça à segurança nacional dos EUA”, disse ele.
“Os Estados Unidos precisam de uma solução abrangente para proteger os dados dos americanos contra nações hostis, em vez de se concentrarem em remendos ineficazes como a proibição do TikTok”, acrescentou Wyden, um democrata do Oregon. “E não quero parecer um disco quebrado, mas nosso país precisa desesperadamente de uma lei abrangente de privacidade do consumidor aqui, para limitar a coleta, a retenção e a venda de informações pessoais confidenciais desde o início.”
MIT Technology Review
