Meta acusada de roubar dados de pessoas no Snapchat

Imagem da logomarca da Meta

A Meta é acusada de roubar dados de pessoas no Snapchat. Para espionar o rival Snapchat e obter dados sobre como o aplicativo estava sendo usado, a Meta – quando operava como Facebook – supostamente iniciou um programa chamado Project Ghostbusters, que interceptava o tráfego de dados de aplicativos móveis. E usou esses dados para prejudicar os negócios de anúncios de seus concorrentes.

O nome do programa era “uma aparente referência ao logotipo corporativo do Snapchat, um fantasma branco em um fundo amarelo”, de acordo com um documento judicial recentemente revelado.

O Project Ghostbusters era administrado pela Onavo, adquirida pelo Facebook em 2013 e descrita pela Comissão Federal de Comércio dos EUA como uma “empresa de vigilância de usuários”. A Onavo ofereceu um serviço de VPN nocional que foi encerrado em 2019 por – ironicamente – sua falta de privacidade.

O esquema de interceptação de dados do Snapchat é descrito naquele documento judicial recém-revelado como uma abordagem “man-in-the-middle”, na qual o Facebook essencialmente pagava pessoas para bisbilhotar seus telefones celulares.

Uso da rede social

O Facebook realizou estudos discretos com grupos de participantes dispostos – de adolescentes a adultos – que foram recompensados por instalar um aplicativo de pesquisa feito pela Onavo que monitorava o uso de seus smartphones para dar à gigante da tecnologia uma ideia melhor de como as pessoas usavam seus dispositivos. Esse aplicativo, alega-se, instalou uma Autoridade de Certificação raiz que permite ao Facebook interceptar e analisar o uso da internet dos participantes do painel.

Não só permitiu que o Facebook emitisse certificados digitais para interceptar as conexões SSL/TLS criptografadas das pessoas, mas também redirecionou silenciosamente o tráfego de análise do Snapchat (e, posteriormente, as análises da Amazon e do YouTube) para os servidores da Onavo. Uma vez lá, os dados poderiam ser descriptografados e analisados para ganho comercial, depois criptografados novamente e passados de volta para o Snapchat sem o conhecimento do fabricante do aplicativo de compartilhamento de fotos, de acordo com a denúncia.

Meta acusada de roubar dados de pessoas no Snapchat

Se isso parece familiar, é porque é por isso que a VPN Onavo acabou sendo encerrada: a equipe por trás dela criou os próprios aplicativos de pesquisa do Facebook que capturaram os dados de uso da internet dos participantes do painel. E quando tudo isso veio à tona em 2019 e provocou indignação, a gigante da tecnologia foi forçada a suspender a operação.

Tudo faz parte de um processo de quatro anos movido contra a Meta na Califórnia por anunciantes do Facebook que alegam, entre outras coisas, que o comportamento anticompetitivo da Meta/Facebook – incluindo interceptação de dados e acordos com outras empresas – aumentou os preços dos anúncios e prejudicou a concorrência.

Essa ação foi movida seis dias antes de a Comissão Federal de Comércio dos EUA processar o Facebook em 9 de dezembro de 2020, alegando anos de conduta anticompetitiva para monopolizar o mercado de publicidade de mídia social. Ambos os processos continuam em andamento, com o caso do anunciante provavelmente chegando a julgamento até 2025 se não houver um acordo prévio.

Facebook

Em um e-mail de 9 de junho de 2016, revelado pelo desafio legal dos anunciantes, o CEO do Facebook, Mark Zuckerberg, instruiu Alex Schultz, atualmente diretor de marketing e vice-presidente de análise, e o COO Javier Olivan, a descobrir como obter análises confiáveis do Snapchat – que se tornou uma séria ameaça competitiva aos olhos de alguns executivos.

Em uma carta [PDF] ao juiz James Donato, datada de 31 de maio de 2023, o advogado co-líder dos demandantes, Brian J Dunne, explicou: “Em julho de 2016, a solução proposta pela equipe Onavo foi apresentada à gerência sênior, incluindo o agora COO Javier Olivan: o Facebook desenvolveu ‘kits’ que podem ser instalados no iOS e Android que interceptam o tráfego para subdomínios específicos, permitindo-nos ler o que seria tráfego criptografado para que possamos medir o uso no aplicativo”.

A passagem que Dunne citou sobre os “kits” é de um e-mail que Danny Ferrante – então diretor de ciência de dados e pesquisa de crescimento do Facebook – escreveu para Olivan. O e-mail passou a descrever como o Facebook planejava distribuir esses kits sob outras marcas de uma forma que não revelasse o envolvimento da rede™? social.

Meta acusada de roubar dados de pessoas no Snapchat
Meta acusada de roubar dados de pessoas no Snapchat.

“Nosso plano é trabalhar com terceiros – como GFK, SSI, YouGov, uTest, etc – que recrutarão painelistas e distribuirão kits sob sua própria marca”, diz o e-mail. “Já temos propostas de vários desses provedores. Os painelistas não verão o Onavo no NUX [nova experiência do usuário] ou nas configurações do telefone. Eles podiam ver Onavo usando ferramentas especializadas (por exemplo, Wireshark).”

Coleta de dados

Alega-se que esse esquema de coleta de dados foi um elemento de uma iniciativa maior – descrita como o programa In-App Action Panel (IAAP) do Facebook – que supostamente funcionou de junho de 2016 a maio de 2019. Como observou uma nota citada na carta de Dunne, o aplicativo de pesquisa Android, por exemplo, “atualmente inclui descriptografia SSL, dando-nos a capacidade de ler todo o tráfego no dispositivo”.

“Os executivos de engenharia de mais alto nível da empresa achavam que o Programa IAAP era um pesadelo legal, técnico e de segurança”, escreveu Dunne em uma carta de 15 de junho de 2023. Ele citou comentários nesse sentido atribuídos a Pedro Canahuati, então chefe de engenharia de segurança: “Não consigo pensar em um bom argumento para explicar por que isso está bem. Nenhuma pessoa de segurança se sente confortável com isso, não importa o consentimento que obtenhamos do público em geral. O público em geral simplesmente não sabe como essas coisas funcionam.”

Mais detalhes

No entanto, de acordo com a carta de maio de Dunne, durante esse período o Facebook “expandiu seu programa IAAP para também interceptar, descriptografar e analisar análises criptografadas do YouTube e da Amazon”.

Dunne argumentou que, diante das evidências, as ações da Meta/Facebook devem ser consideradas escutas telefônicas criminosas. “O programa IAAP da Meta não apenas prejudicou a concorrência, mas violou criminalmente 18 U.S.C. § 2511(1)(a) e (d) ao interceptar intencionalmente o tráfego analítico protegido por SSL endereçado a servidores seguros do Snapchat, YouTube e Amazon”, explicou ele em uma nota de rodapé.

Em uma carta separada, Dunne alegou que o programa de inteligência competitiva IAAP da Meta – que também pode ter capturado dados do Twitter – aumentou os preços para os anunciantes.

“A inteligência que a Meta obteve deste projeto foi descrita interna e externamente como devastadora para o negócio de anúncios do Snapchat”, escreveu ele, “permitindo que a Meta aumentasse os preços dos anúncios na América do Norte em toda a empresa em 60% entre 2016 e 2018”.

O uso de aprendizado de máquina e IA pela Meta também é “central” para o caso dos anunciantes, de acordo com outra carta não lacrada do advogado Yavar Bathaee da Bathaee Dunne LLP.

“Os anunciantes provarão no julgamento, entre outras coisas, que a Meta (a) alterou as fontes de dados para seus modelos de rede neural como parte de acordos com o eBay e com a Netflix, inclusive de maneiras técnica e economicamente irracionais, mas pelo efeito anticompetitivo dos acordos; (b) reuniu e integrou sinais/recursos/dados de usuários de toda a sua empresa, incluindo do WhatsApp e Instagram, no F3 [um repositório interno de dados de IA], ao mesmo tempo, em que engana a FTC para evitar a alienação; e (c) usou dados confidenciais retirados enganosamente dos dispositivos móveis dos usuários para validar os sistemas de IA/ML externos de correspondência de identidade da Meta.”

A alegação aqui é que a Meta não estava apenas rastreando atividades online, mas usando seus sistemas de IA para identificar pessoas. A Meta não respondeu a um pedido de comentário.