Se você já se preocupou com a privacidade de seus dados confidenciais ao procurar uma assistência técnica de computador ou telefone, um novo estudo sugere que você tem uma boa razão para essa preocupação. Descobriu-se que as violações de privacidade ocorreram pelo menos 50% do tempo, não surpreendentemente, com clientes do sexo feminino.
Pesquisadores da Universidade de Guelph, em Ontário, Canadá, recuperaram registros de laptops depois de receberem reparos de 12 lojas comerciais. Os registros mostraram que técnicos de seis dos locais acessaram dados pessoais e que duas dessas lojas também copiaram dados para um dispositivo pessoal. Dispositivos pertencentes a mulheres eram mais propensos a serem espionados, e essa espionagem tendia a buscar dados mais sensíveis, incluindo fotos, documentos e informações financeiras.
Surpreendido
“Ficamos impressionados com os resultados”, disse Hassan Khan, um dos pesquisadores, em uma entrevista. Especialmente preocupante, disse ele, foi a cópia de dados, que aconteceu durante os reparos de um cliente do sexo masculino e o outra do sexo feminino. “Pensamos que eles apenas olhariam para [os dados] no máximo.”
A quantidade de visualização dos dados pessoais pode realmente ter sido maior do que a registrada no estudo, que foi realizado de outubro a dezembro de 2021. Ao todo, os pesquisadores levaram os laptops a 16 lojas na região metropolitana de Ontário. Os registros em dispositivos de duas dessas visitas não eram recuperáveis. Dois dos reparos foram realizados no local e na presença do cliente, de modo que o técnico não teve oportunidade de visualizar os dados pessoais.
Em três casos, o Acesso Rápido do Windows ou os Arquivos Acessados Recentemente foram excluídos no que os pesquisadores suspeitam ser uma tentativa do técnico de espionar e cobrir seus rastros. Como observado anteriormente, duas das visitas resultaram nos registros que os pesquisadores confiavam serem irrecuperáveis. Em um deles, o pesquisador explicou que a Assistência Técnica instalou um software antivírus e realizou uma limpeza de disco para “remover vários vírus no dispositivo”. Contudo os pesquisadores não receberam nenhuma explicação no outro caso.
Análise dos dados coletados
Os laptops eram novos e com Windows 10. Todos estavam livres de malware e outros defeitos e em perfeitas condições de funcionamento, com uma exceção: o driver de áudio estava desativado. Os pesquisadores escolheram essa falha porque exigia apenas um reparo simples e barato, era fácil de criar e não exigia acesso aos arquivos pessoais dos usuários.
Metade dos laptops foram configurados para parecer que pertenciam a um homem e a outra metade a uma mulher. Mas todos os laptops foram configurados com contas de e-mail e jogos e preenchidos com o histórico do navegador ao longo de várias semanas. Os pesquisadores adicionaram documentos, tanto fotos sexualmente reveladoras quanto não sexuais, e uma carteira de criptomoedas com credenciais.
Os pesquisadores também configuraram os laptops para executar um aplicativo de log personalizado que usava o utilitário Gravador de Passos do Windows em segundo plano. O utilitário capturou a tela em cada clique do mouse e gravou cada tecla pressionada pelo usuário. Os pesquisadores também permitiram que a Política de Auditoria do Windows registrasse o acesso a qualquer arquivo no dispositivo.
Os pesquisadores então levaram os laptops para dois pontos de venda nacionais, dois regionais e quatro locais. Mas metade dos clientes eram do sexo masculino e a outra metade era do sexo feminino.
Senha necessária
Contudo além de encontrar espionagem generalizada, o estudo descobriu outros problemas. Entre eles: A grande maioria das oficinas de reparação não fornece nenhuma política de privacidade e tem aqueles que não têm meios de aplicá-la. Pior ainda, os técnicos de reparo exigiam que um cliente entregasse sua senha de login, mesmo quando não era necessário para o reparo.
Essas descobertas vieram de uma parte separada do estudo, na qual os pesquisadores trouxeram um laptop Asus UX330U para 11 lojas para uma substituição de bateria. Este reparo não requer um técnico para fazer login na máquina, uma vez que somente a remoção da parte traseira e o acesso ao BIOS do dispositivo (para verificar a integridade da bateria) são as únicas coisas necessárias. Apesar disso, todos, exceto um dos provedores de serviços de reparo, pediram as credenciais para o sistema operacional do dispositivo de qualquer maneira.
Mas quando o cliente perguntou se poderia obter o reparo sem fornecer a senha, três se recusaram a levar o dispositivo sem ele, quatro concordaram em levá-lo, mas avisaram que não seriam capazes de verificar seu trabalho ou ser responsáveis por isso, um pediu ao cliente para remover a senha e um disse que redefiniria o dispositivo se fosse necessário.
Resultados da Pesquisa
Surpreendentemente ao todo, os resultados do estudo foram:
- As políticas de privacidade e a prática de comunicar protocolos e controles para proteger os dados dos clientes não existem em assistência técnicas de todos os tamanhos.
- Os provedores de serviços em grande partem exigem “todo o acesso” ao dispositivo, mesmo quando é desnecessário.
- Os técnicos muitas vezes espionam os dados dos clientes e, às vezes, copiam-nos para dispositivos externos.
- Os técnicos que violam a privacidade muitas vezes o fazem com total cuidado para não gerar evidências ou removem tais evidências.
- Uma proporção significativa de dispositivos quebrados não é reparada devido a preocupações com a privacidade. Para os dispositivos que são reparados, os proprietários de dispositivos estão preocupados com ameaças à sua privacidade, mas não usam os controles adequados para proteger seus dados.
Entretanto os resultados provavelmente confirmam o que muitos usuários de computador mais experientes já sabem: que seus dados são vulneráveis a espionagem ou cópia sempre que entregam seu dispositivo a um indivíduo não confiável ou desconhecido, particularmente quando o indivíduo tem sua senha de login. Mas para uma porcentagem muito maior de pessoas que desejam recuperar dados cruciais em um dispositivo quebrado, as descobertas são provavelmente um alerta com poucas, se houver, soluções.
“Inegavelmente nossa investigação mostra uma ausência de políticas e controles para proteger os dados dos clientes em todos os tipos de provedores de serviços de reparo”, concluíram os pesquisadores. “Nosso trabalho exige que os fabricantes de dispositivos, desenvolvedores de sistemas operacionais, provedores de serviços de reparo e órgãos reguladores tomem as medidas apropriadas para salvaguardar a privacidade dos clientes na assistência técnica”.
Esse estudo mostrou que não importa com quem seja. É importante sempre proteger os seus dados pessoais.
Data de Publicação: 20/12/2022 | Data da Atualização: 26/01/2024