Milhões de usuários do aplicativo de fotos Instagram - e não apenas dezenas de milhares - tiveram suas senhas armazenadas em servidores internos em formato não criptografado, informou a rede social Facebook nesta quinta-feira, que revisou suas estimativas anteriores.

"Encontramos novas senhas do Instagram armazenadas em formato legível, e hoje estimamos que o problema tenha afetado milhões de usuários do Instagram", disse o Facebook em uma atualização de seu blog publicado em 21 de março.

A empresa-mãe do Instagram revelou que as senhas de centenas de milhões de usuários haviam sido armazenadas em servidores internos de forma não criptografada, alegando que não havia violações de segurança, antes de assegurar que os problemas técnicos haviam sido resolvidos.

Também observou que o problema afetou "centenas de milhões de usuários do Facebook Lite", uma versão simplificada do site para conexões de Internet de baixa qualidade, "dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuáriosdo Instagram".

O grupo, que afirma ter 2,3 bilhões de usuários ativos em todo o mundo, também confirmou nesta quinta que nenhum uso mal-intencionado dessas senhas foi identificado.

Há mais de dois anos, o grupo tem lidado com repetidas controvérsias, desde a manipulação da rede para fins políticos por países ao gerenciamento dos dados dos usuários, que formam a base de seu modelo de negócios.

O Facebook e o Google anunciaram uma parceria recentemente para oferecer aos usuários backups gratuitos das conversas do WhatsApp no Google Drive. A notícia pode chegar em boa hora para aquelas pessoas que sempre estão sem espaço na memória do celular, mas também levanta preocupações sobre privacidade e segurança.

Antes de ficar muito animado com a notícia, você deve saber que os backups do Google Drive não serão protegidos pela mesma criptografia presente nos bate-papos do WhatsApp. De acordo com o jornal The Economic Times, o WhatsApp atualizou uma página de suporte para deixar a informação bem clara.

"As mídias e as mensagens que você faz backup não são protegidas pela criptografia de ponta-a-ponta do WhatsApp no ​​Google Drive", diz o aplicativo, em seu site. A organização sem fins lucrativos Electronic Frontier Foundation (EFF) recomendou que os usuários nunca façam o backup de seus chats em serviços de nuvem.

"Recomendamos que os usuários nunca façam backup de suas mensagens na nuvem, pois isso entregaria cópias não criptografadas de seu log de mensagens ao provedor da nuvem", informou a entidade. Isso significa que o Google tem a capacidade de acessar os dados, explicou o blog de tecnologia BGR.

A questão levanta suspeitas de que hackers poderiam acessar os dados não criptografados, expondo informações pessoais contidas em conversas de texto, se tivessem acesso à conta do Google Drive dos usuários.

Aqueles que valorizam a privacidade e a segurança devem considerar outros meios de backup, como salvar o conteúdo do WhatsApp localmente em um computador ou num disco rígido criptografado. Somente usuários do WhatsApp no ​​Android podem aproveitar a parceria com o Google Drive.

LeiaJá também

--> TRF julgará em breve multa de R$ 2 bilhões contra WhatsApp

O Departamento de Justiça dos EUA está tentando pressionar o Facebook a quebrar a criptografia de ponta-a-ponta de seu popular aplicativo de bate-papo do Messenger, para que o governo possa espionar as conversas de voz de suspeitos de uma investigação criminal.

Até agora, o Facebook recuou contra o pedido das autoridades norte-americanas. A criptografia de ponta-a-ponta permite que apenas os participantes de uma conversa possam ver as mensagens e o conteúdo que ela contém. O Facebook não tem acesso aos dados.

A Reuters diz que o caso de vigilância está sob sigilo na Califórnia, então nenhum documento ou informação sobre ele é acessível publicamente. A posição do Facebook é que ele teria que remover completamente a criptografia do Messenger ou hackear o indivíduo que o governo quer ouvir.

Neste caso, o governo está buscando uma escuta de conversas de voz em curso por uma pessoa no Facebook Messenger como parte de uma investigação da gangue MS-13, segundo a Reuters.

Os chats normais do Messenger não são criptografados de ponta-a-ponta. Mas o aplicativo tem um recurso de conversas secretas que, quando ativado, pode proteger os bate-papos com a tecnologia.

LeiaJá também

--> Facebook bane rede que vendia likes, seguidores e páginas

O co-fundador da WhatsApp, o engenheiro Brian Acton, foi pessoalmente ao Supremo Tribunal Federal (STF) na manhã desta sexta-feira (2) defender a criptografia ponta-a-ponta utilizada pelo aplicativo para proteger as trocas de mensagens entre os usuários. A tecnologia foi implantada no serviço de bate-papo em 2016, e desde então vem causando polêmicas entre a empresa e a justiça brasileira.

Ele afirmou que os pilares do sistema são segurança e acessibilidade e que a tecnologia inviolável, até mesmo por parte do próprio WhatsApp. "Vim pessoalmente porque o Brasil é muito importante para o WhatsApp e o WhatsApp é importante para o Brasil", disse Brian, ao informar que o país tem 120 milhões de usuários do aplicativo.

Na avaliação do engenheiro, a criptografia de ponta-a-ponta faz com que mais de um bilhão de pessoas se comuniquem sem medo em todo o mundo, razão pela qual investiram no melhor sistema disponível atualmente. Ele afirmou que as chaves que integram o sistema não podem ser interceptadas.

"As chaves relativas a uma conversa são restritas aos interlocutores dessa conversa. Ninguém tem acesso, nem o WhatsApp", ressaltou. Brian Acton afirmou ainda que as mensagens já transmitidas não podem ter a criptografia retirada e acrescentou que a única forma de reverter esse quadro seria desativar a tecnologia para todos, deixando os usuários à mercê de ataques hackers.

A audiência no STF averigua se os pedidos de bloqueio ao WhatsApp no Brasil violam princípios garantidos na lei. Desde 2015, o aplicativo, que pertence ao Facebook, foi alvo de quatro pedidos de suspensão. Três deles foram postos em prática. O debate terá continuidade na segunda-feira (5).

LeiaJá também

--> Golpe diz que WhatsApp voltará a cobrar assinatura

Após o ataque terrorista da semana passada em Londres, o governo do Reino Unido renovou uma campanha contra a criptografia digital. A secretária do interior britânico, Amber Rudd, descreveu a incapacidade do governo de ler mensagens de aplicativos de mensagens criptografadas de ponta-a-ponta, como o WhatsApp e Telegram, como completamente inaceitáveis.

"Precisamos ter certeza de que organizações como o WhatsApp não fornecem um lugar secreto para os terroristas se comunicarem uns com os outros", disse Rudd em entrevista à BBC, neste último domingo (26). Os comentários de Rudd delineiam uma batalha familiar e global entre governos e empresas de tecnologia.

Depois do ataque de San Bernardino em dezembro de 2015, o FBI fez reclamações semelhantes, exigindo que a Apple desbloqueasse um iPhone pertencente a um dos atiradores. E no Brasil, o governo bloqueou o WhatsApp em várias ocasiões por supostamente falhar em cooperar com investigações policiais.

Especialistas em segurança e privacidade, no entanto, alertam que introduzir backdoors, uma porta dos fundos, em aplicativos criptografados poderia pôr em xeque a segurança de milhões de usuários. O ex-chefe de segurança cibernética britânico, Jonathan Shaw, também criticou o movimento, sugerindo que as motivações dos ministros eram oportunistas.

Falando no programa Today da BBC Radio 4, Shaw disse que o governo estava tentando usar o momento para extrair concessões de empresas de tecnologia. Ele acrescentou que qualquer backdoor de criptografia só forneceria ajuda temporária.

Após a introdução da nova legislação de vigilância no ano passado, o Reino Unido tem a justificativa legal necessária para obrigar as empresas de tecnologia a decifrar mensagens, mas essas empresas podem dizer que isso não é tecnicamente viável ou simplesmente ignorar tais demandas.

LeiaJá também

--> WhatsApp vai avisar contatos quando você mudar de número

O FBI quer que a Apple desbloqueie o telefone utilizado por Dahir Adan, morto pela polícia após esfaquear dez pessoas em um shopping de Minnesota, no mês passado. O órgão não tem provas suficientes para ligar o autor do ataque ao Estado Islâmico, que assumiu a autoria do atentado logo após o acontecido. Os dados armazenados no aparelho poderão ajudar os investigadores a concluir se, de fato, ele pertencia a organização.

Em dezembro do ano passado, ocorreu um ataque ao Departamento de Saúde Pública de San Bernardino, estado da Califórnia. Na ocasião, 14 pessoas foram mortas e 22 ficaram feridas em um tiroteio seguido de uma tentativa de explodir um artefato. Neste caso, um outro aparelho, coincidentemente um iPhone, foi encontrado com um dos terroristas mortos. Solicitado o desbloqueio pelo FBI, a empresa negou que haja uma maneira de violar a senha definida pelo terrorista.

Os dois casos são apontados pela empresa como uma quebra no contrato de privacidade da fabricante com o usuário. O FBI chegou a solicitar que a Apple criasse uma brecha proposital na criptografia dos aparelhos para facilitar o acesso a informações nesses casos. A empresa se negou a criar uma forma de burlar a segurança com base no princípio de que “se houver uma brecha, nada impede que criminosos identifiquem e utilizem-na para outros fins”.

Diante das negativas da empresa, John McAfee, fundador da empresa de antivírus que leva seu nome, se ofereceu para “quebrar” a senha do aparelho de San Bernardino. "Então aqui está a minha oferta para o FBI. Vou, de forma gratuita, descriptografar as informações no telefone San Bernardino, com a minha equipe. Usaremos principalmente a engenharia social, o que levará três semanas. Se vocês aceitarem a minha oferta, então não vão precisar de pedir à Apple para colocar uma porta dos fundos no seu produto, o que será o começo do fim da América", disse McAfee no comunicado.

No caso de San Bernardino, o FBI conseguiu acessar os dados do telefone, mas não encontrou “informações relevantes”, conforme anúncio feito pelo próprio órgão. Também não foi revelado como foi possível o procedimento.

Os três bloqueios do aplicativo de mensagens instantâneas WhatsApp no Brasil têm algo em comum: as justificativas da empresa norte-americana, de propriedade do Facebook, para explicar a falta de colaboração com a Justiça brasileira. Em todos os episódios, alegou-se não ter os dados solicitados pelas autoridades.

Por trás da negativa, porém, está uma tecnologia de segurança avançada, que impede de que até mesmo a companhia tenha acesso às mensagens trocadas por seus mais de 1 bilhão de usuários em todo o mundo: a criptografia.

"Qualquer mensagem enviada por meio de um canal público, como a internet, pode ser interceptada por terceiros", explica a professora de Ciências da Computação da Universidade Federal do ABC, Denise Goya, em entrevista ao Estado. "A criptografia permite cifrar essas mensagens para que só o dispositivo que tem a chave possa decifrá-las."

O WhatsApp começou a criptografar as mensagens trocadas pelos usuários em 2012. O conteúdo só era codificado durante o breve período em que "passava" pelos servidores da empresa; depois, as mensagens circulavam de forma aberta pela internet.

Em 2014, a companhia mudou de estratégia e decidiu adotar a chamada criptografia de ponta a ponta. A tecnologia, chamada de Signal Protocol, permitiu que as mensagens passassem a ser codificadas no aparelho do remetente e só pudessem ser abertas no dispositivo do destinatário, com o uso de uma senha composta por 32 caracteres alfanuméricos (256 bits). Somente os dois indivíduos que participam da conversa têm a chave - nem mesmo o WhatsApp pode decifrar a correspondência.

Após cerca de um ano e meio de trabalho, o WhatsApp anunciou, em abril deste ano, que todas as conversas feitas por meio do aplicativo são criptografadas de ponta a ponta. "A criptografia de ponta a ponta ajuda a tornar a comunicação via WhatsApp privada, como uma espécie de conversa cara a cara", disse o cofundador e CEO do WhatsApp, Jan Koum, ao anunciar o recurso de segurança.

De acordo com Marco Konopacki, coordenador de projetos do Instituto de Tecnologia e Sociedade (ITS-Rio), a chave de 256 bits é forte, o que torna difícil, mesmo para especialistas em segurança, decifrar as mensagens. Na prática, mesmo se as autoridades interceptarem uma mensagem, teriam de gastar muito tempo e dinheiro para conseguir decifrá-la - e repetir o esforço a cada nova mensagem enviada. "Demoraria nove anos para quebrar o código usando um computador comum e três meses, se fosse um supercomputador", explica Konopacki.

Alternativa

Uma das possibilidades técnicas possíveis para permitir que as autoridades possam monitorar conversas de suspeitos seria criar uma espécie de "porta dos fundos" (back door, em inglês). Isso permitiria que as mensagens fossem "desviadas" para outro servidor, antes mesmo de serem criptografadas pelo aparelho.

Segundo os especialistas consultados pelo Estado, é improvável que o WhatsApp aceite fazer essa modificação no serviço. "A empresa teria o esforço de criar uma versão específica para o Brasil", diz Konopacki. "E isso não garantiria que os criminosos não iriam usar outras formas de acessar a versão americana do aplicativo."

As informações são do jornal O Estado de S. Paulo.

 As novas formas de encriptação deram aos criminosos uma maneira segura de operar clandestinamente? Ou a tecnologia moderna entrega às autoridades mecanismos poderosos de vigilância sem precedentes? Durante semanas, a Polícia Federal americana (FBI) e a Apple se enfrentaram nesse tema, sem que tivesse um vencedor claro. O debate continua em aberto.

Há os que se preocupam com o fato de as novas formas de encriptação conseguirem criar brechas que beneficiem criminosos e terroristas e as conspirações secretas. Outros alegam o contrário - que estamos em uma "idade de ouro" para a espionagem oficial dos cidadãos. Em ambos os lados, a posição é defendida de modo apaixonado.

O governo americano desistiu da batalha legal para obrigar a Apple a desbloquear um iPhone usado por um dos autores da tragédia em dezembro passado em San Bernardino, na Califórnia, anunciando que encontrou um meio de fazê-lo sem a ajuda do gigante do setor. É apenas uma questão de tempo, porém, até que surja outra situação similar que ponha à prova a fronteira entre aplicar a lei e proteger os dados privados. 

"Isso criou um dos maiores dilemas políticos da era digital. A encriptação melhora a segurança de consumidores e empresas, mas também torna mais difícil para os governos protegê-los de novas ameaças", avalia o informe da Fundação para as Tecnologias da Informação e da Inovação (ITIF), com sede em Washington. "Não há maneira de enquadrar esse círculo. Qualquer decisão terá vantagens e desvantagens", completou o texto.

Rumo à escuridão?

Há anos, o debate sobre criptografia, privacidade e segurança levou o FBI e outros órgãos de segurança a advertir que nos encaminhamos para a escuridão, já que as novas tecnologias tornam obsoletas ferramentas como grampos telefônicos e aumentam as possibilidades de atuação dos criminosos.

Essas declarações foram confrontadas após as revelações do ex-analista de inteligência Edward Snowden que avivaram o temor do uso indiscriminado das possibilidades de vigilância eletrônica de que o governo dispõe e que podem sair do controle.

As decisões da Apple e do Google de intensificar a encriptação, para que seja impossível até mesmo para as próprias empresas desbloquear dados, contribuíram para acelerar o debate. A isso somaram-se as revelações de que os autores dos ataques de Paris em novembro podem ter usado comunicações encriptadas para evitar serem detectados.

Recentemente, o WhatsApp informou que implementou a encriptação ponta-a-ponta, que permite que apenas remetente e destinatário possam ver a mensagem. "Ninguém pode ver o conteúdo dessas mensagens. Nem os cibercriminosos. Nem os hackers. Nem os governos opressivos. Nem mesmo nós", orgulha-se o aplicativo, que pertence ao Facebook e conta com cerca de 1 bilhão de usuários.

Essa decisão gerou fortes críticas, como a do senador Tom Cotton, que a classifica como um convite aberto aos terroristas, traficantes de drogas e criminosos sexuais a usar o WhatsApp para pôr o povo americano em risco.

Privacidade absoluta?

David Bitkower, da divisão criminal do Departamento de Justiça, adverte para a tendência de se subestimar o risco para a segurança pública de implementar formas de encriptação à prova de mandados judiciais, um termo usado pelo FBI para descrever mecanismos de encriptação tão fortes que sequer se consegue ter acesso aos dados, mesmo com autorização de um tribunal.

Falando em um fórum da ITIF, Bitkower argumentou que não está claro que uma encriptação extrema deixe as pessoas mais seguras e que, pelo contrário, pode ser contraproducente. O diretor do FBI, James Comey, também alertou para esse perigo.

"Eu gosto de uma encriptação poderosa. De muitas maneiras, isso nos protege de ações de gente ruim", disse ele a estudantes em Ohio. "Muitos gostam da ideia de um espaço de armazenamento em nossas vidas, ao qual ninguém possa ter acesso, mas isso nos leva a um ponto - a privacidade absoluta - no qual nunca estivemos antes. Temos de entender que esse novo mundo tem um custo", acrescentou Comey.

O congresso americano trabalha em uma lei que pode obrigar as empresas do setor de tecnologia a facilitar o acesso às autoridades. Medidas similares estão sendo estudadas na Grã-Bretanha, na França e em outros países. "Nenhuma entidade, ou indivíduo, está acima da lei", afirmou a senadora democrata Dianne Feinstein, coautora da proposta.

"Terroristas e criminosos estão usando cada vez mais a encriptação para neutralizar as forças da ordem. Precisamos de uma forte encriptação para proteger os dados pessoais, mas também precisamos saber quando os terroristas estão conspirando para assassinar americanos", alegou.

Já uma coalizão de empresas tecnológicas e de ativistas que apoiam a Apple advertem que qualquer regra que autorize acesso especial a conteúdo encriptado pode criar vulnerabilidades que podem ser usadas por hackers, ou por governos autoritários.

Um longo rastro digital

Críticos do FBI garantem que afirmar que vamos para a escuridão é falso, pois a era digital põe à disposição das autoridades mais dados do que nunca. Apontam ainda que a polícia falha, porque não emprega de maneira eficiente as novas ferramentas com as quais conta.

"Vivemos em uma idade de ouro para a vigilância, mais do que em qualquer outro momento da história", declarou no congresso o presidente da empresa de segurança RSA, Amit Yoran. "Em quase tudo o que fazemos, deixamos um rastro digital", acrescenta, destacando que o desafio é gerenciar (essa informação) de maneira eficiente e aproveitá-la plenamente.

Chris Calabrese, do Centro para a Democracia e a Tecnologia, argumenta que o smartphone é um dispositivo muito pessoal pelo qual tramitamos os assuntos mais privados. "Não estamos dizendo que o governo nunca possa ter acesso ao nosso telefono, dizemos que são necessários bons argumentos para quebrar essa privacidade", ressalta.

Nesta semana, o WhatsApp começou a notificar usuários do aplicativo de que já está utilizando a chamada criptografia de ponta-a-ponta. “As mensagens que você enviar para esta conversa e chamadas agora são protegidas com criptografia de ponta-a-ponta”, dizia o alerta. O aviso deixou alguns usuários em dúvida sobre o que deveria ser feito e o que seria a criptografia.

Na realidade, a criptografia de ponta-a-ponta nada mais é do que um recurso de segurança utilizado pelos administradores do aplicativo. De acordo com comunicado na página oficial do WhatsApp, o sistema visa criptografar as duas extremidades da mensagem. Os desenvolvedores também apontam que é preciso ter a versão mais recente do aplicativo para que a criptografia de ponta-a-ponta seja ativada.

“A criptografia de ponta-a-ponta do WhatsApp está disponível quando você e as pessoas com as quais você conversa estão na versão mais recente do nosso aplicativo. Muitos aplicativos somente criptografam mensagens entre você e eles próprios, mas a criptografia de ponta-a-ponta do WhatsApp assegura que somente você e a pessoa com que você está se comunicando podem ler o que é enviado e ninguém mais, nem mesmo o WhatsApp”, diz o aplicativo.

“As suas mensagens estão seguras com um cadeado e somente você e a pessoa que as recebe possuem a chave especial necessária para destrancá-lo e ler a mensagem. E para uma proteção ainda maior, cada mensagem que você envia tem um cadeado e uma chave. Tudo isso acontece automaticamente. Não é necessário ativar configurações ou estabelecer conversas secretas especiais para garantir a segurança de suas mensagens”, complementa o comunicado.

De certa forma, o impedimento de que funcionários do WhatsApp tenham acesso à mensagem também protege a empresa. No início de março, o vice-presidente do Facebook (empresa que é dona do WhatsApp) no Brasil foi preso por não ter repassado informações de mensagens que circularam no aplicativo. Com o modelo de chave criptográfica, nem mesmo o WhatsApp teria acesso a essas mensagens.

Nos Estados Unidos, há uma polêmica entre a Apple e o FBI. A polícia pede que a empresa divulgue dados de mensagens em uma investigação sobre terrorismo. Porém, a Apple - que usa a criptografia de ponta-a-ponta - afirma que seria preciso criar uma chave mestra para desbloquear as mensagens e que isso acarretaria no fim da privacidade de usuários. Até o momento, o FBI não conseguiu as informações que desejava.