Meta é processada por espionar usuários do Snapchat

Da Redação
28/03/2024

Um grupo de anunciantes está processando a Meta, proprietária do Facebook e do Instagram,  por seu Projeto Ghostbusters, criado para analisar dados de tráfego de  concorrentes como o Snapchat, YouTube e Amazon. O nome do projeto é uma alusão tanto à franquia de filmes “Os Caça-Fantasmas” quanto uma referência à assombração que serve de mascote do Snapchat. A empresa é acusada de interceptar e descriptografar o tráfego analítico protegido por SSL desses serviços para que o Facebook tivesse vantagem competitiva em publicidade.

O cerne da questão, conforme descrito no processo judicial, gira em torno do programa In-App Action Panel (IAAP) da Meta, que esteve ativo entre junho de 2016 e maio de 2019. “O programa IAAP, lançado a pedido de Mark Zuckerberg [CEO do Meta], usou um método de ataque cibernético chamado ‘SSL man-in-the-middle’ para interceptar e descriptografar o tráfego analítico protegido por SSL do Snapchat — e mais tarde do YouTube e da Amazon —para informar a tomada de decisões competitivas do Facebook.

Este projeto teria começado em 2016, quando o Facebook, sob a liderança de Zuckerberg, começou a interceptar e decifrar o tráfego de dados de usuários do Snapchat. O objetivo era reunir insights sobre o comportamento do usuário, potencialmente concedendo ao Facebook uma vantagem competitiva ao acessar dados confidenciais. O método supostamente envolvia escutas telefônicas das comunicações entre os usuários do Snapchat e os servidores do aplicativo, levantando preocupações sobre o impacto potencial no negócio de publicidade do Snapchat.

A raíz da acusação remonta a 9 de junho de 2016, quando Zuckerberg comunicou aos principais executivos sobre a falta de dados de “análise do Snapchat”, solicitando medidas urgentes para corrigir a situação. Documentos apresentados em processos judiciais revelam discussões entre executivos e consultores jurídicos sobre possíveis métodos para obter esses dados, incluindo a controversa tática de descriptografia SSL facilitada pela Onavo, uma empresa especializada em aplicativos móveis adquirida pelo Facebook em 2013.

Em um processo separado apresentado por anunciantes do Facebook, alega-se que, até julho de 2013, o Facebook teve acesso a informações detalhadas de 30 milhões de usuários do Onavo. Em 2017, as aplicações móveis da Onavo tinham sido descarregadas cerca de 24 milhões de vezes, tendo o Facebook alegadamente recolhido e aproveitado todos os dados obtidos. Além disso, até fevereiro de 2018, os aplicativos da Onavo foram baixados 33 milhões de vezes nas plataformas iOS e Android.

Em sua defesa, respondendo a questionamentos da Comissão do Poder Judiciário e Subcomissão de Direito Antitruste, Comercial e Administrativo sobre a Onavo, o Facebook afirmou em 2019 que o objetivo era aprimorar produtos e atender melhor às necessidades do consumidor, com a coleta de dados baseada no consentimento do usuário. A empresa sustentou que a Onavo não coletou dados de concorrentes, mas sim informações de usuários que consentiram em compartilhar seus dados de uso de dispositivos. O Facebook enfatizou que tais práticas de coleta de dados são padrão na indústria e cruciais para a melhoria do produto.

Veja isso
Meta perde ação para impedir FTC de reabrir ordem de privacidade
Meta terá equipe para evitar uso abusivo de IA nas eleições na UE

No entanto, os últimos documentos judiciais indicam que o programa IAAP da Meta se expandiu para direcionar o tráfego analítico criptografado de concorrentes além do Snapchat, incluindo YouTube e Amazon. As alegações sugerem que os funcionários do Facebook desenvolveram código personalizado do lado do cliente e do servidor com base no aplicativo proxy VPN e na pilha de servidores da Onavo.

O código incluía um “kit” do lado do software cliente que instalava um certificado “root” nos dispositivos móveis dos usuários, permitindo que o Facebook interceptasse o tráfego SSL. Além disso, código personalizado do lado do servidor, utilizando um proxy web de código aberto conhecido como “squid”, foi empregado para criar certificados digitais falsos. Esses certificados foram usados para representar servidores analíticos confiáveis do Snapchat, YouTube e Amazon, redirecionando e descriptografando o tráfego seguro para análise do Facebook. Conforme descrito nos autos, este processo ressalta a abordagem estratégica e tecnologicamente avançada do Facebook para interceptação e análise de dados.

Os anunciantes afirmam que a equipe jurídica da Meta esteve intrinsecamente envolvida na concepção, implementação e expansão do programa IAAP ao longo de sua duração. Argumentam que este nível de supervisão jurídica implica cumplicidade na alegada conduta criminosa. A Meta diz que as alegações dos demandantes são infundadas e completamente irrelevantes para o caso.

Para acessar o processo (em inglês) movido pelos anunciantes contra a Meta clique aqui.

Compartilhar: