Proteção de dados on-line 101: não deixe a grande tecnologia enriquecer suas informações

Informações pessoais são a moeda da qual depende grande parte da Internet. Ele está reunido em todos os lugares, geralmente sem o conhecimento das pessoas, e efetivamente paga as contas de muitos serviços e aplicativos gratuitos que consideramos garantidos. Dependendo de quão radical você é, você pode ver isso como um comércio justo em troca de serviços - ou como empresas que extraem mão de obra livre da população que usa a Internet.

O escopo do problema

Compreender esse ecossistema é difícil, mas se retirar dele é ainda mais difícil. Para começar, o número de anos de suas informações já está na posse de vários sites legais de intermediação de dados.

Ao escrever esse recurso mais longo sobre como as empresas transformam seus dados em dinheiro, observei e comprei informações de vários corretores de dados. Em seguida, fiz um balanço da grande quantidade de informações que eu tinha, consciente e inconscientemente, fornecido aos serviços de mídia social. É impressionante.

Isso nem sequer considera o volume dos meus dados pessoais que é invisível para o mundo exterior - trancado nos bancos de dados de editores, empresas de publicidade de terceiros, sites de pesquisa como o Google e assim por diante. Esses dados são compilados, cortados, cortados em cubos, talvez anonimizados e distribuídos inteiramente fora do meu controle.

Depois, há as informações que foram roubadas. Parte disso eu sei. Meu número do Seguro Social (entre outras coisas) foi roubado durante o agora lendário hack do Office of Personnel Management, no qual os dados armazenados por um grande escritório do governo foram exfiltrados. É uma piada minha que a privacidade realmente não importa muito para mim, já que o governo chinês provavelmente pode verificar meu crédito.

Mas a desesperança é chata. Se a tecnologia me colocou nessa confusão, posso tentar usar a tecnologia para me recuperar.

Limpando a bagunça

O serviço DeleteMe da Abine examina os sites do intermediário de dados e do agregador de registros públicos para encontrar informações pessoais à venda. O serviço custa US $ 129 por ano para uma pessoa e US $ 229 por ano para uma segunda pessoa. Assim como o LifeLock e serviços similares, você deve fornecer à Abine uma boa quantidade de informações pessoais para removê-las de outros lugares. Como os intermediários de dados têm requisitos diferentes para remover as informações, o Abine solicita que você envie uma imagem anônima do seu ID emitido pelo estado.

Alguns desses serviços respondem instantaneamente, mas a maioria demora entre um dia e uma semana para processar as solicitações do DeleteMe. Algumas podem levar até seis semanas, o que o DeleteMe atribui à exigência de alguns serviços de que uma solicitação de remoção de dados seja enviada por correio. Parte do que você está pagando com o DeleteMe é que outra pessoa lide com o acompanhamento tedioso e o rastreamento contínuo de informações pessoais. Minhas informações pessoais podem, eventualmente, encontrar o caminho de volta para qualquer um desses sites.

O pesquisador de segurança Troy Hunt administra o site HaveIBeenPwned.com, que agrega as informações de violações de dados em massa em um serviço pesquisável. Isso inclui dados que foram divulgados pelas empresas, mas também despejos públicos dos dados dos bandidos. Digite seu e-mail e você poderá ver quais de suas contas foram expostas.

Segundo o site, minhas informações estavam envolvidas em violações de 17 sites e três despejos de informações públicas. Portanto, meus dados já estão flutuando na Dark Web, provavelmente sendo vendidos e reembalados repetidamente.

Hunt não oferece uma ferramenta para solucionar essas violações. Em vez disso, ele dá o mesmo conselho que eu ou qualquer outro profissional de segurança faria: Altere sua senha para algo complexo e verdadeiramente único e ative a autenticação de dois fatores (2FA).

O que é 2FA? Existem três fatores geralmente reconhecidos para autenticação: algo que você sabe (como uma senha), algo que você tem (como um token de hardware ou telefone celular) e algo que você é (como sua impressão digital). Dois fatores significa que o sistema está usando duas dessas opções. Na prática, isso significa executar outra ação, como inserir um código de seis dígitos em um aplicativo, depois de inserir uma senha.

Quanto às informações expostas na violação, elas estão boas. Mas saber quais sites estão sob maior risco é útil. Também é uma oportunidade de decidir se esses serviços valem a pena. Embora solicitar que um site ou serviço exclua sua conta nem sempre funcione (alguns apenas arquivam no caso de você voltar), vale a pena tentar.

Por último, a maioria dos softwares gerenciadores de senhas inclui ferramentas para verificar contas violadas e alertá-lo contra a reciclagem de senhas. Alguns programas destacam sites onde você reciclou senhas e as alteram automaticamente para você.

Daqui para frente

Enquanto trabalhava na minha história maior, tentei deixar o menor número possível de pegadas de dados na Web. Não acredito que seja possível evitar toda a coleta de dados e ainda estar A) vivo ou B) um membro contribuinte da sociedade americana moderna, mas é possível reduzir isso. E é absolutamente possível tornar-se mais consciente das informações que você espalha.

Endereço de e-mail

O email existe há tanto tempo que parece banal e até descartável, mas ainda é extremamente valioso. Os endereços de email são identificadores úteis e um meio direto de acesso aos consumidores na web. Enquanto nós na PCMag temos instruído as pessoas há anos para parar de reciclar senhas e permitir que um gerenciador de senhas faça o trabalho pesado, ficamos calados sobre o assunto de endereços de email. Uma senha reciclada é incorreta, mas um endereço de email reciclado também é significativo. Simplesmente não existe uma boa ferramenta para gerenciar vários endereços de email.

Abine Blur, no entanto, é uma dessas ferramentas. Da mesma empresa que criou o DeleteMe, o Blur é um conjunto de ferramentas de privacidade que inclui um gerenciador de senhas e endereços de email mascarados. Basta digitar um endereço de e-mail real no site do Blur e instalar a extensão do navegador. Sempre que você for solicitado a inserir um endereço de e-mail, o Blur será exibido e oferecerá uma alternativa mascarada. Os e-mails enviados para o seu endereço mascarado serão encaminhados pelo Blur para o seu endereço real. O melhor de tudo é que você pode gerar e destruir novos endereços mascarados em tempo real. É muito melhor do que clicar em cancelar a inscrição e esperar.

Estou usando e-mails mascarados há algumas semanas e estou impressionado. Com dois cliques, separei um serviço da minha identidade e deixei meu gerenciador de senhas (eu usar o LastPass) gerar e lembrar senhas longas e estranhas. Dito isso, encontrei alguns sites que não aceitariam os endereços de e-mail criados por Blur. Talvez o domínio do email tenha sido colocado na lista negra. Essa foi a exceção, no entanto, e tive pouco problema com o serviço.

Números de telefone

Os números de telefone são identificadores de enorme importância, porque um número de telefone quase sempre representa uma pessoa, graças aos telefones celulares. E, diferentemente de outros identificadores, os indivíduos precisam receber e manter um número de telefone. Isso significa que cada número é, até certo ponto, verificado. Portanto, é uma boa ideia limitar a extensão da disseminação do seu número de telefone.

Se puder, recuse disponibilizá-lo para aplicativos que o solicitem. Não permita que os aplicativos vasculhem sua lista de contatos para combiná-lo com seus amigos. Tente não adicionar seu número de telefone aos formulários, a menos que seja absolutamente necessário.

Infelizmente, não podemos manter nossos números de telefone realmente secretos. Por um lado, você provavelmente deseja receber chamadas e mensagens de texto. Por outro lado, você deve fornecer um número de telefone para algumas empresas para receber os códigos 2FA.

Você pode limitar a propagação do seu número de telefone simplesmente criando outro. O Google Voice, um serviço excelente e amplamente integrado, cria um número de telefone que será encaminhado para quantos dispositivos você desejar. Você pode fazer e receber chamadas do aplicativo Google Voice e até enviar e receber textos. Durante anos, forneci meu número do Google Voice em vez do meu número de telefone. Mas descobri que alguns serviços 2FA não aceitam um número do Google Voice.

Uma conta Abine Blur também pode ser usada para criar números de telefone descartáveis. Fazer uma ligação com o seu número da Abine custa US $ 0, 01 para se conectar e US $ 0, 01 por minuto, que é uma batata pequena em comparação com os US $ 3, 00 em créditos de chamadas que você recebe todos os meses.

O Google Voice e o Abine Blur limitam você a um número de telefone falso. O aplicativo Burner, no entanto, permite criar e destruir números conforme sua conveniência. Não testei este aplicativo e não posso falar sobre sua eficácia ou segurança, mas é uma ideia realmente interessante.

Métodos de Pagamento

Os cartões de crédito são extremamente convenientes, mas, diferentemente do dinheiro, deixam rastros de papel. O banco emissor ou a empresa do cartão de crédito possui uma lista de tudo o que você comprou. E, como números de telefone, cada cartão geralmente está vinculado a um único indivíduo. Eles também exigem algum esforço para obter e manter.

Aconselho as pessoas a evitar o máximo possível de cartões de débito, simplesmente porque você tem mais proteção ao consumidor com cartão de crédito. Mas, para privacidade e segurança, recomendo evitar o número do cartão de crédito real sempre que possível. Isso é fácil se você tiver um smartphone recente da Apple ou Android. Aplicativos de pagamento móvel, como Apple Pay, Google Pay e Samsung Pay, todos simbolizam suas informações de cartão de crédito e débito. Ou seja, eles criam um número falso que está conectado ao número do seu cartão real.

Você pode estender essa mesma proteção para outros contextos com os cartões de crédito mascarados de Abine Blur. Com o Blur, você pode gerar rapidamente um cartão de crédito pré-pago com um nome e endereço de cobrança falsos. O valor mínimo é de US $ 10, mas você pode solicitar um reembolso por qualquer dinheiro em seus cartões mascarados que você não usa. Você também pode criar e destruir cartões mascarados à vontade, o que significa que deixa pouco vestígio de suas compras em um site ou no extrato do cartão de crédito.

Bloqueadores de Rastreadores

À medida que você se move pela Web, os sites atribuem rastreadores e cookies a você. Alguns permitem que o site se lembre de quem você é e ofereça uma experiência personalizada toda vez que você passa por lá. Isso é útil se você sempre ajustar o tamanho do texto em um site de notícias, por exemplo. Mas outros cookies e rastreadores são usados ​​para rastrear seus movimentos na Web para observar seus hábitos ou segmentar anúncios.

Felizmente, você pode bloquear muitos rastreadores e cookies usando qualquer número de bloqueadores de anúncios e rastreadores. Prefiro o Privacy Badger da Electronic Frontier Foundation (EFF), mas existem muitos outros. Ghostery, TunnelBear e Abine Blur são boas opções, e vários bloqueadores de anúncios também estão disponíveis para iOS e Android.

Observe que o uso desses bloqueadores às vezes pode quebrar sites. Um bloqueador pode, por exemplo, impedir que um site se comunique com o serviço que armazena todas as suas imagens, ou impedir que você envie um formulário online. O Privacy Badger e outros incluem alternadores para cada um dos rastreadores e cookies em um site, permitindo que você faça uma lista de permissões, lista negra ou permita temporariamente um serviço individual. Você também pode definir a maioria dos bloqueadores para colocar na lista branca um site inteiro.

Clientes e serviços de email

O Google diz que não pesquisa mais nas caixas de entrada do Gmail para redirecionar anúncios, mas parece que a AOL e o Yahoo ainda podem fazê-lo. Além disso, muitos e-mails de empresas e serviços contêm rastreadores e outras tecnologias que monitoram se suas mensagens passam e rastreiam você quando você clica em um link no e-mail. Parte disso é feita com conteúdo remoto - ou seja, elementos armazenados em outro local da Web, mas chamados pelo e-mail que você recebe. Quando os elementos remotos são carregados, quem enviou o email sabe que ele foi enviado.

O ProtonMail (dos criadores do ProtonVPN) é um serviço de e-mail criptografado que não gera lucro com seu conteúdo. Isso significa que não há redirecionamento de anúncios nem bots espalhando seus e-mails. Ele também bloqueia o conteúdo remoto nos emails por padrão, permitindo que você escolha se deseja que esses elementos sejam carregados na sua caixa de entrada.

O venerável cliente de e-mail Thunderbird pode não ser a maneira mais fácil de verificar seu e-mail, mas pode bloquear conteúdo remoto e rastreadores incorporados. Possui controles refinados que permitem adicionar endereços de email à lista de permissões para conteúdo remoto, permitir temporariamente conteúdo remoto e escolher quais serviços podem ser carregados em suas mensagens.

VPNs

Graças a uma decisão do nosso congresso de palhaços, os ISPs agora podem vender versões anônimas das informações do usuário. Isso não inclui seu nome e será agregado às informações de muitos outros usuários, mas ainda assim: está convertendo suas atividades on-line em dinheiro para ISPs.

Quando você usa uma rede virtual privada (VPN), seu ISP não consegue ver o que você está fazendo online. Uma VPN também oculta efetivamente sua verdadeira localização e mascara seu endereço IP; os dois podem ser usados ​​para identificar você on-line e segmentar anúncios em sua direção. A PCMag recomenda NordVPN, Private Internet Access ou TunnelBear para suas necessidades de VPN.

Há muitos prós e contras no uso de uma VPN, que discuti detalhadamente na minha cobertura contínua do espaço da VPN. Em geral, as grandes desvantagens de uma VPN são o preço, o impacto no desempenho e o bloqueio simplesmente pelo uso de uma VPN.

Contêineres do Firefox

Embora seja uma explosão do passado para alguns, a versão mais recente do Firefox é extremamente boa. Caramba, ele me fez voltar a usar o navegador vulpine pela primeira vez em quase uma década. Junto com sua velocidade (e foco geral na privacidade), o Firefox também tem um novo truque na manga: Containers.

Os contêineres permitem criar espaços separados para diferentes contextos. Você pode, por exemplo, criar contêineres para trabalho, compras, serviços bancários e assim por diante. Quaisquer sites que você visite ou faça login em cada contêiner (que pode conter várias guias) permanecem nesse contêiner. Se você estiver conectado à conta do Google do seu escritório no contêiner de trabalho, não estará ao mudar para um contêiner diferente.

A Mozilla, empresa sem fins lucrativos por trás do Firefox, também oferece uma extensão específica do Facebook Container que mantém todas as suas atividades no Facebook em um só lugar. Isso torna muito mais difícil para o gigante das redes sociais rastrear você na Web. Você pode criar seus próprios contêineres e atribuí-los a sites individuais.

Explorando as alternativas

Atualmente, muitas das forças dominantes da Internet são baseadas em modelos de negócios que monetizam os dados do usuário. Mas se você estiver disposto a fazer uma grande mudança, existe toda uma galáxia de serviços que não procura transformá-lo em notas de dólar.

Nos últimos meses, fiz questão de explorar alguns dos serviços de código aberto e com foco na privacidade na web. Enquanto alguns estão em sua infância, é emocionante ver como é a web quando não está atrás das minhas informações.

Use aplicativos da Web em vez de aplicativos

Bill Budington, tecnólogo da equipe sênior da EFF, recomenda que as pessoas tentem usar aplicativos da Web em vez de baixar aplicativos de lojas de aplicativos. Os aplicativos podem ter muitas tecnologias de rastreamento complicadas, às vezes colocadas sem o conhecimento expresso dos desenvolvedores do aplicativo. O problema é que alguns serviços online tendem a levá-lo a usar um aplicativo. O Tumblr e, por exemplo, são quase inutilizáveis ​​na Web para dispositivos móveis.

DuckDuckGo

Google e Facebook dominam a coleta de dados e a distribuição de conteúdo online. Se você quer se divorciar do Google, tente o DuckDuckGo. Este serviço não registra sua atividade de pesquisa e não gera receita com suas atividades. Ele também possui alguns recursos interessantes que o Google não oferece, incluindo um modo escuro para sua página de pesquisa e a capacidade de ir diretamente para um resultado de pesquisa de imagens.

Eu encontrei algumas coisas em que o Google é melhor do que o DuckDuckGo. Por exemplo, o Google quase sempre consegue encontrar um tweet baseado apenas no conteúdo que me lembro. DuckDuckGo, nem tanto. Mas, ao tornar o DuckDuckGo meu mecanismo de pesquisa padrão no Firefox, o Google agora é apenas mais uma ferramenta na minha caixa de ferramentas da Internet.

OpenStreetMap

O Google Maps é, sem dúvida, uma das maiores criações da era da Internet. Ser capaz de encontrar o caminho de um lugar para praticamente qualquer outro lugar na Terra a partir de uma barra de pesquisa é incrível. Mas o Google Maps também comercializa suas atividades. Ao usá-lo, você fornece ao Google sua localização, além de informações importantes sobre você, como seu trajeto, seus hábitos de viagem e até onde você gosta de fazer compras e comer.

O OpenStreetMap é um serviço de mapas distribuído livremente e de diversas fontes. Pense no Google Maps, mas de código aberto. Pode levá-lo do ponto A ao ponto B muito bem a pé, de carro ou de bicicleta. Infelizmente, faltam as rotas de transporte público e a pesquisa de negócios que tornam o Google Maps tão magicamente útil. Mas, novamente, é bom ter uma alternativa na caixa de ferramentas.

Junte-se à Federação

Embora várias tentativas tenham sido feitas para criar uma rede social ética e livre de anúncios, a maioria se tornou um argumento. A inauguração do Mastodon em 2016 foi um pouco diferente, pelo menos para mim, porque o serviço foi muito polido no lançamento. Também foi uma ótima oportunidade para aprender sobre redes sociais federadas: redes compostas por diferentes servidores que se comunicam entre si.

Pense da seguinte maneira: você pode se inscrever para um endereço de e-mail em qualquer número de sites. Yahoo, Google, Apple, ProtonMail - faça a sua escolha! Mas você pode enviar e receber e-mails para e de qualquer outra pessoa com um endereço de e-mail, independentemente do serviço escolhido. É uma rede federada. Isso contrasta com o design monolítico da maioria das redes sociais: seria absurdo presumir que você pudesse usar o Twitter para se comunicar com alguém no Facebook. Os dois serviços simplesmente não se falam.

Cada instalação do Mastodon (chamada de "instância") pode se comunicar com qualquer outra instância. As pessoas que se inscreveram no Mastodon.social podem enviar uma mensagem @ para mim no infosec.exchange, por exemplo.

O mais empolgante sobre esses novos serviços federados é que redes sociais radicalmente diferentes podem ver e conversar entre si, desde que usem o mesmo protocolo ActivityPub de código aberto. Por exemplo, um usuário do Mastodon está desenvolvendo um clone do Instagram chamado Pixelfed que um dia se associará às contas Mastodon. Quando você faz login na sua conta Pixelfed, é como o Instagram com suas próprias postagens e seguidores internos. Mas um usuário do Mastodon pode seguir minha conta Pixelfed e ver minhas postagens em seu feed Mastodon. Atualmente, existem vários substitutos para o YouTube, Medium e GrooveShark baseados em ActivityPub em vários estágios de desenvolvimento.

Além de ser de código aberto, as redes sociais federadas são difíceis de gerar receita. Por serem uma rede de redes e não apenas um único serviço, como o Twitter ou o Facebook, nenhuma organização pode ter uma visão do que acontece na rede federada.

As redes sociais federadas ainda estão em andamento. Mas o conceito é empolgante e vai contra a ideia de que as pessoas precisam entregar seus dados para ter o tipo de experiências que esperamos online.

Minhas falhas na desmonetização

Apesar de tentar limitar ao máximo a minha pegada de dados, encontrei alguns desafios que simplesmente não consegui superar. Meu endereço de entrega, por exemplo, é um dado muito óbvio que eu tenho que fornecer regularmente. Eu poderia abrir uma caixa postal - mas a entrega em domicílio é algo sem o qual não posso viver.

Enquanto trabalho para usar uma VPN sempre que possível, não fui tão longe a ponto de instalar uma em um roteador e ocultar todos os meus dispositivos por trás dela. Isso significa que meus poucos dispositivos inteligentes e consoles de videogame em casa não estão sendo criptografados. Meu provedor de serviços de Internet, sem dúvida, percebeu o quanto eu faço streaming da Netflix e quanto tempo gastei gerando tráfego na rede PlayStation.

Esforcei-me para ocultar meus pagamentos on-line o máximo possível, mas não me livrei do PayPal ou Venmo. Esses serviços são uma parte muito grande da minha vida, e ignorá-los significaria que eu não seria recompensado ou seria capaz de pagar facilmente os outros.

Resisti ao Spotify por um longo tempo, mas desisti há alguns anos atrás. Não me arrependo, mas sei que esta empresa está extremamente consciente do que ouço. É muito difícil dizer não ao enorme catálogo que ele oferece, e por mais que eu diga, eu realmente achei as recomendações musicais do Spotify extremamente úteis.

• Facebook para finalizar anúncios direcionados criados com mineração de dados de terceiros Facebook para finalizar anúncios direcionados criados com mineração de dados de terceiros
• Reddit hackeado, apesar da autenticação de dois fatores do SMS Reddit hackeado, apesar da autenticação de dois fatores do SMS
• Relatório: AOL, e-mails de usuários do Yahoo Scan, vender dados para anunciantes Relatório: AOL, e-mails de usuários do Yahoo Scan, vender dados para anunciantes

Também continuo usando minha Página inicial do Google. Essa é minha maior vergonha de privacidade, porque sei que não preciso disso. Também sei que ele grava o que eu digo e envia de volta ao Google para processamento. Até ouvi essas gravações no aplicativo Página inicial do Google. E ainda tenho três desses dispositivos em minha casa.

E, apesar de me opor às práticas de coleta de dados, não excluí minhas contas do Facebook ou Twitter. No caso do Twitter, é a pressão profissional e o momento sociopolítico incomum em que os americanos nos encontramos. Para o Facebook, é a pressão implícita dos colegas contra o desaparecimento repentino do mundo. É quase como se eu me afastasse do Facebook, estaria me afastando da mente dos meus amigos e familiares. E embora eu queira que os anunciantes me esqueçam, esse é um preço muito alto no momento.