Aplicativos vazam informação do Facebook

Emily Steel e Geoffrey Fowler | The Wall Street Journal
19/10/2010

Muitos dos aplicativos, ou "apps", mais populares do site de relacionamento social Facebook Inc. têm transmitido informações de identificação dos usuários - na prática fornecendo acesso aos nomes deles e, em alguns casos, os nomes dos amigos - a dezenas de empresas de marketing e de rastreamento de dados na internet, descobriu uma investigação do Wall Street Journal.

A falha de segurança afeta dezenas de milhões de usuários do site, inclusive pessoas que configuraram seus perfis de acordo com as opções de privacidade mais rígidas do Facebook. A prática desrespeita as regras do Facebook e renova questionamentos sobre a capacidade da empresa de manter as atividades de seus usuários fora do alcance de profissionais de marketing e coletores de dados.

O problema tem laços com o crescente campo de empresas que constroem bancos de dados detalhados sobre as pessoas para rastreá-las on-line - uma prática que o WSJ vem examinando numa série de reportagens. Não está claro há quanto tempo a brecha existe. No domingo, um porta-voz do Facebook disse que a empresa está tomando medidas para "limitar dramaticamente" a exposição de dados pessoais dos usuários.

"A identidade do usuário do Facebook pode ser compartilhado inadvertidamente pelo navegador de internet de um usuário ou por um aplicativo", disse o porta-voz. O conhecimento da identidade "não dá acesso a todas a informações privadas no Facebook", disse ele, explicando que a empresa vai passar a usar uma nova tecnologia para conter o problema identificado pelo WSJ.

"Apps" são programas que permitem aos 500 milhões de usuários do Facebook jogar games ou compartilhar interesses comuns. O WSJ descobriu que todos os dez aplicativos mais populares do Facebook estavam transmitindo informação de identificação pessoal dos usuários para outras companhias.

Entre os apps, classificados pela empresa de pesquisa Inside Network Inc. (com base em usuários mensais), estão Farmville, da Zynga Game Netowrk Inc., que tem 59 milhões de usuários, Texas HoldEm Poker e FrontierVille. Entre os dez apps mais populares, três, inclusive Farmville, também têm transmitido informação pessoal dos amigos do usuário.

A maioria dos apps não é feita pelo Facebook, mas por empresas independentes de software. Vários aplicativos se tornaram indisponíveis para os usuários do Facebook depois que o WSJ informou a empresa de que eles estavam transmitindo informação pessoal; a razão específica da indisponibilidade não está clara.

A informação que estava sendo transmitida é uma das pedras fundamentais do Facebook: o número "Facebook ID" atribuído a cada usuário no site. Qualquer pessoa pode usar o número para procurar o nome do respectivo usuário com um navegador comum de internet, mesmo se a pessoa configurou todas as suas informações no Facebook como privativas. Para outros usuários, o Facebook ID revela informações que eles determinaram que poderiam ser compartilhadas com "todo mundo", incluindo idade, residência, ocupação e fotos.

Os apps avaliados pelo WSJ estavam enviando os números de identificação no Facebook para pelos menos 25 empresas de publicidade e de dados, muitas das quais montam perfis dos usuários de internet seguindo a atividade on-line deles.

Os defensores do rastreamento on-line alegam que esse tipo de acompanhamento é benigno porque é realizado anonimamente. Neste caso, entretanto, o WSJ descobriu que uma empresa de coleta de dados, a RapLeaf Inc., associou o número de identificação do usuário do Facebook, obtido por meio dos aplicativos, ao seu próprio banco de dados de usuários da internet, que é comercializado. A RapLeaf também transmitiu os dados de identificação do Facebook para dezenas de empresas, descobriu o WSJ.

A RapLeaf informou que a transmissão foi involuntária. "Não fizemos isso de propósito", disse Joel Jewitt, vice-presidente de desenvolvimento de negócios da empresa.

O Facebook havia afirmado antes ter "adotado medidas (...) para limitar significativamente a capacidade da Rapleaf de usar qualquer dado relacionado ao Facebook".

O Facebook proíbe que os criadores de apps transfiram informações sobre os usuários para empresas de propaganda e rastreamento de dados externas, mesmo que um usuário concorde com isso. As descobertas do WSJ ressaltaram os desafios de policiar essas regras para os 550.000 aplicativos do site.

As descobertas do WSJ representam o mais recente desafio do Facebook, que foi criticado por modificar as regras de privacidade para expor mais informações sobre os usuários. No segundo trimestre, o WSJ descobriu que o Facebook estava transmitindo os números de identificação para empresas de publicidade, em algumas circunstâncias, quando o usuário clicava uma propaganda. O Facebook depois abandonou esta prática.

"Esse é um desafio técnico ainda mais complicado do que uma questão semelhante que nós atacamos com sucesso no segundo trimestre no Facebook.com", disse um porta-voz da empresa, "mas é um desafio que temos o compromisso de enfrentar."

A questão da privacidade se segue a esforços do Facebook, este mês, para dar aos usuários mais controle sobre seus aplicativos, que os defensores da privacidade citam como buracos potenciais dentro da capacidade dos usuários de controlarem suas informações.

Em 6 de outubro, o Facebook criou um painel de controle que permite que os usuários vejam quais apps estão acessando que categorias de informações sobre eles. Ele indica, por exemplo, quando um aplicativo acessa "informações básicas" de um usuário (incluindo ID e nome). Entretanto, ele não detalha que informações os aplicativos dos amigos acessaram sobre o usuário.

Os apps transformam o Facebook em um centro para todo o tipo de atividade, de jogos à criação de árvores genealógicas. Os apps são considerados importantes para que o Facebook possa ampliar a utilidade de sua rede. A empresa afirma que 70% dos usuários recorrem aos aplicativos todos os meses.

Os aplicativos também são uma fonte crescente de receita além da propaganda para o próprio Facebook, que vende a sua moeda virtual que pode ser usada para pagar pelos jogos.

Não está claro se os programadores responsáveis por muitos desses aplicativos que estão transmitindo os números do Facebook ID sabem que seus apps estavam fazendo isso. Os apps estavam usando um padrão comum na internet, conhecido como "referer", que passa adiante o endereço da última página vista quando o usuário clica em um link. No Facebook e em outros sites de relacionamente social, isso pode expor a identidade do usuário.

A empresa informou que desativou milhares de aplicativos em certos momentos porque eles violaram suas regras. Não está claro quantas, se alguma, dessas empresas repassaram a informação do usuário para empresas de marketing.

Parece também que o Facebook encerrou alguns aplicativos que, conforme identificado pelo WSJ, estavam transmitindo os IDs dos usuários, incluindo vários criados pela LOLapps Media Inc., uma empresa de San Francisco. Entre os aplicativos da LOLapp estão Gift Creator, com 3,5 milhões de usuários mensais ativos, e Quiz Creator, com 1,4 milhão de usuários mensais ativos.

Desde sexta-feira, os usuários que tentam acessar esses aplicativos recebem uma mensagem de erro ou são mandados de volta para a página inicial do Facebook. "Agimos imediatamente para desativar todos os aplicativos que violam nossos termos", disse um porta-voz do Facebook.

Uma porta-voz da LOLapps Media Inc. se negou a comentar.

Os aplicativos que transmitem os IDs do Facebook podem ter violado suas próprias regras de privacidade, assim como os padrões do setor, que determinam que os sites não devem compartilhar e os anunciantes não devem coletar informação pessoal identificável sem a permissão do usuário. A Zynga, por exemplo, informa na sua regra de privacidade que "não oferece nenhuma informação pessoal que possa ser identificada para empresas de publicidade".

Uma porta-voz da Zynga disse: "A Zynga tem uma política rígida de não passar informações pessoais identificáveis a terceiros. Nós queremos trabalhar com o Facebook para aprimorar como as tecnologias da web funcionam para manter as pessoas no cotrole de suas informações".

O mais abrangente uso de informações de usuários do Facebook descoberto pelo WSJ envolve a RapLeaf. A empresa de San Francisco compila e vende perfis de pessoas em parte com base nas atividades on-line deles.

O WSJ descobriu que alguns aplicativos estavam transmitindo os números de identidade dos usuários para a RapLeaf. A RapLeaf associava os números de ID aos dossiês que tinha previamente criado para essas pessoas e colocava essa informação em um arquivo de rastreamento da internet conhecido como "cookie".

A RapLeaf afirma que retira os nomes dos usuários quando inclui a informação no cookie e a compartilha para publicidade dirigida. Entrentanto, o WSJ descobriu que o RapLeaf transmitiu os números de identificação de usuários do Facebook para uma dúzia de outros anunciantes e empresas de dados, como a Invite Media, do Google Inc.

As 12 empresas informaram que não coletaram, armazenaram ou usaram a informação.