O ano é 2016 e o Snapchat está, aos poucos, a tornar-se a rede social do momento, sobretudo entre os utilizadores jovens. O Facebook, a maior rede social de então, quer evitar perder pessoas (e dinheiro) para este jovem rival. Mas o Facebook não sabe muito sobre quem são e o que fazem os utilizadores do Snapchat. E assim nasce o projeto Caça-Fantasmas (Project Ghostbusters no original em inglês), numa alusão ao ícone do Snapchat que é um fantasma branco.
“Sempre que alguém faz uma pergunta sobre o Snapchat, normalmente a resposta é como eles usam tráfego encriptado não temos dados analíticos sobre eles”, escreveu Mark Zuckerberg, diretor executivo (CEO) do Facebook, num e-mail enviado a 9 de junho e agora tornado público após a divulgação de documentos judiciais até aqui confidenciais. “Considerando quão rápido [o Snapchat] está a crescer, parece importante descobrir uma forma de conseguir dados analíticos credíveis sobre eles. Talvez precisamos de fazer painéis ou criar software específico. Devem descobrir uma forma de fazer isto”, acrescentou o líder máximo do Facebook nesse mesmo e-mail.
E a equipa fez-lhe a vontade. Usando uma aplicação que o Facebook tinha comprado em 2013, a Onavo, um sistema de redes privadas virtuais (VPN), programadores do Facebook desenvolveram kits para esta aplicação que permitiam intercetar o tráfego encriptado para subdomínios específicos de algumas aplicações. Tipicamente, as interações dos utilizadores do Snapchat com os servidores da empresa eram cifrados e seguros, mas como o Facebook conseguia espiar os conteúdos logo na fonte, antes de serem cifrados, contornava assim o sistema de segurança implementado pela plataforma rival.
Segundo a publicação TechCrunch, um e-mail enviado em julho de 2016, pela equipa da Onavo, especificava que o método desenvolvido “permite-nos ler o que noutro caso seria tráfego encriptado para que possamos medir a utilização na aplicação [Snapchat]”. “Esta é uma abordagem man-in-the-middle”, lê-se ainda nesse e-mail. Num outro e-mail lia-se: “Agora temos a capacidade para medir detalhadamente a atividade dentro da aplicação [do Snapchat]”
Man-in-the-Middle é o nome dado a um conjunto de ataques informáticos nos quais o atacante posiciona-se entre o utilizador de um serviço digital e os servidores dessa empresa, por forma a roubar informações sensíveis. Por norma, o pirata informático cria um sistema intermediário malicioso que faz com que as informações do utilizador passem por aqui antes de serem enviadas de forma segura para os servidores da empresa.
Mesmo dentro do próprio Facebook havia vozes críticas sobre a legalidade e ética desta ação. “Não consigo pensar num bom argumento para isto ser aceitável. Nenhuma pessoa na área da segurança está confortável com isto, independentemente do consentimento que tivermos do público. O público em geral não sabe como estas coisas funcionam”, escreveu Pedro Canahuati, na época o líder de engenharia de segurança da rede social liderada por Mark Zuckerberg.
Os documentos agora revelados fazem parte de um processo judicial movido por dois utilizadores contra o Facebook, Sarah Grabert e Maximilian Klein, alegando que a empresa mentiu sobre a tipologia de dados que recolhia e sobre o objetivo dessa extração de dados, alegando que tinha como objetivo ganhar uma vantagem desleal sobre serviços concorrentes.
Ainda segundo a notícia do TechCrunch, o Facebook usou depois a mesma técnica para recolher informações sobre utilizadores de aplicações como o YouTube e Amazon. Nenhuma das empresas comentou publicamente as revelações contidas nos documentos judiciais agora revelados.
