Como redes Wi-Fi gratuitas podem rastrear a sua localização
Empresas que oferecem o serviço usam dados dos usuários para encaminhar publicidades mais assertivas
Hotspots Wi-Fi ostensivamente “gratuitos” estão em centenas de milhares de empresas e espaços públicos, como shoppings, aeroportos ou restaurantes. Mas essa conveniência geralmente tem um preço: seus dados pessoais e sua privacidade.
Ao usar o Wi-Fi “gratuito”, há uma boa chance de ele ser gerenciado por um provedor terceirizado, trocando a internet por dados de login. As informações de logon exigidas pelos pontos de ativação variam, mas geralmente incluem endereço de e-mail, número de telefone, perfil de mídia social e outras informações pessoais. Tudo pode ser usado para segmentar o usuário com publicidade e obter insights sobre seus hábitos.
De acordo com Emory Roane, consultor jurídico da Privacy Rights Clearinghouse, é preciso ler os Termos de Uso da Wi-Fi para qualquer uma dessas empresas e quase certamente perceberá que ainda não existe um almoço grátis.
Isso provavelmente não é uma surpresa para a maioria dos usuários de pontos de acesso Wi-Fi. Mas o que pode surpreendê-lo é que alguns provedores de hotspots estão levando a coleta de dados um passo adiante e rastreando silenciosamente o paradeiro de milhões de usuários, mesmo depois de saírem de um estabelecimento.
Rastreamento de localização Wi-Fi
A PC World analisou as políticas de privacidade de uma dúzia de provedores de hotspots Wi-Fi e descobriu que eles geralmente pedem aos usuários que concordem com o rastreamento de local quando se conectam. Algumas frases que indicam essa prática são “dados de localização”, “histórico de localização”, “sua localização”, “identificadores de dispositivo” e “endereço MAC”.
Entre as redes contactadas, a Zenreach e a Euclid, disseram registrar os locais de milhões de proprietários de smartphones e laptops que passam dentro do alcance de seus hotspots, mesmo quando essas pessoas não fazem login.
De acordo com a política de privacidade do Zenreach, “Mais tarde, quando o dispositivo do usuário retornar a esse local do cliente ou entrar no alcance Wi-Fi de outro roteador Zenreach (de qualquer cliente Zenreach), nós automaticamente reconheceremos o dispositivo e registraremos a visita em nosso registro”.
Já a política de privacidade de Euclides diz que “Informações gerais sobre visitas são coletadas conforme seu dispositivo móvel passa por diferentes locais que usam nossa tecnologia”.
Como funciona
Ao se conectar a um Wi-Fi público, o usuário geralmente é recebido com um formulário de login, também conhecido como “portal cativo”. É aqui que ele fornece informações pessoais e consente com os termos de serviço para ficar on-line.
No caso do Zenreach, “clicando em ‘entrar on-line’, a pessoa concorda com os termos de uso e política de privacidade”, permitindo que eles acompanhem a localização ao longo do tempo. Euclid é mais explícito, dizendo: “você concorda em fornecer a localização deste dispositivo”.
O que distingue provedores de hotspot de marketing baseados em localização como o Zenreach e o Euclid de provedores de hotspot de terceiros é que as informações pessoais inseridas no portal cativo podem ser vinculadas ao laptop ou o endereço MAC do smartphone. Esse é o ID alfanumérico exclusivo que os dispositivos transmitem quando o Wi-Fi é ligado.
Como explica Euclid em sua política de privacidade, “se você levar seu dispositivo móvel para sua loja de roupas favorita hoje que é um local – e depois um popular restaurante local alguns dias depois que também é um local – saberemos que um dispositivo móvel estava em ambos os locais com base em ver o mesmo endereço MAC”.
Os endereços MAC, por si só, não contêm informações de identificação além da marca de um dispositivo. No entanto, enquanto o endereço MAC de um dispositivo estiver vinculado ao perfil de alguém e o Wi-Fi do dispositivo estiver ativado, os movimentos de seu proprietário poderão ser seguidos por qualquer ponto de acesso do mesmo provedor.
“Depois que um usuário se inscreve, associamos seu endereço de e-mail e outras informações pessoais ao endereço MAC do dispositivo e a qualquer histórico de localização que possamos ter anteriormente (ou coletamos posteriormente) para o endereço MAC do dispositivo”, segundo a política de privacidade do Zenreach.
Isso pode revelar um perfil detalhado dos hábitos diários de uma pessoa. Onde eles compram, onde moram e que lugares frequentam em determinados momentos podem ser descobertos por esses dados.
Stacey Gray, consultora de política do Future of Privacy Forum, disse que a associação de um endereço MAC com os movimentos de alguém entre os locais revela informações “altamente sensíveis”.
“Analisar os sinais MAC de telefones celulares pode ser valioso para os varejistas e outros para calcular os tempos de espera, entender o horário de pico versus o número de horas extras ou designar funcionários. No entanto, os dados de localização são altamente sensíveis quando ligados a um indivíduo ao longo do tempo e em locais diferentes”, explica Stacey.
Ao falar sobre se as pessoas que poderiam achar invasivo o rastreamento de localização por Wi-Fi, o co-fundador da Zenreach, Kai Umezawa, destacou a conveniência, apontando como sua empresa facilita o acesso à Internet.
“Depois que os clientes fazem login no Wi-Fi em um local de comerciante, podemos reconhecer esse dispositivo em qualquer local da rede Zenreach. O benefício para os usuários é o acesso com um clique ao Wi-Fi em qualquer um desses locais”.
Um porta-voz da Euclides disse que a empresa imediatamente anonimiza os dados de localização coletados “despersonalizando” ou “hashing” em formato não legível quando armazenado. A empresa ainda processa e fornece dados identificáveis para as empresas nas visitas de alguém entre os vários locais de sua propriedade.
Como os dados são usados difere de provedor para provedor, e onde isso pode acabar é outra questão. Muitos prometem nunca compartilhar isso. Outros têm políticas mais opacas ou, no caso do Zenreach, podem compartilhar dados com clientes, afiliados e outros terceiros. O Euclid também pode compartilhar dados com anunciantes, mas apenas no formato “hash”.
Como se proteger de ser rastreado por Wi-Fi “grátis”
Não usar o Wi-Fi “gratuito”: a solução mais óbvia para proteger seus dados de redes Wi-Fi gratuitas é não usá-las. As alternativas incluem o uso dos serviços de dados da sua operadora de celular ou a inscrição em um serviço de ponto de acesso mais seguro, como o Boingo.
Desativar o Wi-Fi quando não o estiver usando: a ativação do Wi-Fi permite que esses pontos de acesso rastreiem o usuário (e também drena a bateria mais rapidamente). Não há realmente nenhum motivo para manter o Wi-Fi ativado, a menos que precise se conectar.Ler a política de privacidade: é tentador ignorar a leitura da política de privacidade, mas se demorar alguns minutos para fazer isso, é possível saber como o serviço Wi-Fi está coletando dados e onde eles podem acabar. As palavras-chave a procurar são “endereço MAC”, “localização”, “coletar” e “compartilhar”.
Desativar o rastreamento de localização e excluir dados: as empresas de análise de localização permitem que a exclusão do rastreamento de localização e de dados, embora alguns opt-outs sejam mais fáceis do que outros. Como optar por sair pode ser encontrado em uma política de privacidade.
Para isso, é preciso ter o endereço MAC. Em um iPhone, ele é encontrado em Configurações> Geral> Sobre, listado como seu endereço Wi-Fi. No Android, basta ir em menu e Configurações> Redes sem fio e outras ou Sobre o dispositivo. Em Avançado, estará o endereço MAC.
O interessado pode fornecer seu endereço MAC para desativar vários serviços de rastreamento de localização, mas não todos, através do portal da web Smart Places do Future of Privacy Forum. Este é site onde muitas empresas de análise de localização trabalham voluntariamente.
Nem todas as empresas de análise de localização estão associadas ao portal da web Smart Places, incluindo o Zenreach. Nesses casos, é preciso encontrar um e-mail do provedor de ponto de acesso Wi-Fi em sua política de privacidade e entrar em contato diretamente com a empresa.
Randomizar o endereço MAC no Android: desde a versão P, o Android adicionou um recurso que permite aleatorizar o endereço MAC do smartphone para melhorar a privacidade. Isso permite gerar um novo endereço MAC para cada ponto de acesso Wi-Fi conectado, evitando que essas empresas o acompanhem. É possível ativar a randomização do MAC em Opções do desenvolvedor.
Não fazer login com a mídia social: pode ser conveniente e mais rápido entrar com o Facebook, o Twitter ou o LinkedIn, mas também é ideal para coletores de dados.
Um estudo publicado em 2015 pela National Academy of Sciences descobriu que é preciso apenas 10 “curtidas” no Facebook para um modelo de computador conhecer melhor sua personalidade do que um colega. Em um estudo anterior de 2013 dos mesmos pesquisadores, também publicado pelo NAS, os cientistas usaram o Facebook “curtidas” para prever se alguém era preto ou branco com 95% de precisão, masculino ou feminino, com 93% de precisão, gay ou heterossexual com 88% de precisão, e democrata ou republicano com 88% de precisão.
Podem existir reguladores?
Ao contrário dos Estados Unidos, a União Europeia restringe o rastreamento de localização individual baseado em perfis por meio de pontos de acesso Wi-Fi sob o Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018.
O GDPR considera os identificadores de dispositivo como endereços MAC “informações individualmente identificáveis”, autorizando as pessoas com direitos a terem seus dados pessoais processados com segurança e excluídos, exigindo o consentimento explícito do usuário no portal cativo para rastreamento de localização.
“A localização exata é considerada uma informação muito sensível em toda a Europa. As empresas que rastreiam a localização do usuário precisam, entre outras coisas, fornecer uma notificação facilmente compreensível e obter o consentimento explícito do usuário”, explica Alja Poler De Zwart, advogada de privacidade e dados da firma de advocacia Morrison Foerster.
“As empresas que não obedecem a essas regras correm o risco de aplicar medidas regulatórias, incluindo multas ao estilo GDPR”, acrescenta ela.
A SpotOn Wi-Fi, com sede na Holanda, um provedor de hotspots que opera principalmente na Europa, com alguns negócios nos Estados Unidos, imediatamente anonimiza endereços MAC associados a informações pessoais para cumprir com o GDPR.
“Sem associar um endereço MAC a um perfil social, não poderíamos fornecer roaming perfeito entre pontos de acesso baseados na nuvem ou criar campanhas de email que segmentem os visitantes com mais de X visitas”, disse Niek Giavedoni, diretor fundador da SpotOn Wi-Fi.
Giavedoni confirmou que a capacidade de rastrear usuários identificados através de seus dispositivos está presente nos sistemas SpotOn Wi-Fi e outras redes Wi-Fi, mas ele disse que seria uma violação de privacidade rastrear os locais de perfis individuais através de Wi-Fi na UE.
Restrições semelhantes podem chegar aos Estados Unidos. Funcionários do governo estão lutando para proteger dados pessoais após o escândalo Cambridge Analytica, criando uma oportunidade para que restrições semelhantes à UE sobre rastreamento de localização por Wi-Fi entrem na lei.
Para Marc S. Martin, ex-funcionário da Comissão Federal de Comunicações, as regulamentações de privacidade do Wi-Fi deram um passo para trás no nível federal desde a eleição do presidente Donald Trump. “Um dos primeiros atos do Congresso controlado pelos republicanos e da administração Trump logo após a posse do presidente foi confiar na Lei de Revisão do Congresso para revogar as Regras de Privacidade de Banda Larga da FCC”, alertou.
“Após essa etapa, a administração da Trump, a FCC, revogou as regras de neutralidade de rede da FCC de 2015”, acrescentou ele. Segundo ele, por causa dessas duas revogações, atualmente não há “regras ou regulamentos federais de privacidade prescritivos que regem os provedores de serviços de Wi-Fi nos Estados Unidos”.