Por Nikita Mazurov, para The Intercept.
IMAGINE QUE UM potencial ladrão de identidade tivesse um banco de dados gratuito, fácil de usar e com acesso público para pesquisar o nome, local, data de nascimento e nome de solteira da mãe de milhões de pessoas. É só olhar nos bancos de dados da Amazon. Já sabemos que a empresa coleta muitas informações pessoais e dados que seus usuários podem ter dificuldade para recuperar, mas a empresa também compartilha suas informações para que qualquer pessoa tenha acesso quando você se cadastra. Como as configurações de visibilidade padrão das listas de presentes para casamentos, aniversários, recém-nascidos e outras ocasiões são predefinidas para o acesso público, a Amazon revela ao mundo informações que instituições financeiras e outros provedores de serviços solicitam para autenticação de identidade — e que ladrões de identidade podem usar para assumir o controle de sua vida.
Cadastros de identidade roubados
A Amazon exige que certas informações sejam fornecidas ao configurar um cadastro. No caso de listas de presentes para casamentos, a Amazon exige o nome e sobrenome de ambos os parceiros, a data do matrimônio, o número de convidados presentes e um endereço para correspondência. A configuração de compartilhamento padrão torna a lista de presentes pesquisável não apenas na Amazon, mas também por meio de um site externo de planejamento de casamentos, o The Knot. Isso provocou dúvidas de usuários que utilizaram a lista de casamento na Amazon a respeito de como o The Knot recebia esses detalhes privados. Da mesma forma, ao criar uma lista de enxoval para um bebê, a Amazon solicita um nome e sobrenome, data prevista para o parto, se o bebê é o primeiro filho dos pais, e um endereço de correspondência. A configuração de visibilidade padrão também está definida como pública, e disponível para aparecer em sites sobre gravidez e paternidade, como The Bump, What to Expect e Baby Center.
Qualquer pessoa pode pesquisar um cadastro público (mesmo sem uma conta da Amazon) com apenas um nome ou especificando uma data e local. Além da relação de produtos desejados, as listas de casamento mostram os nomes de ambos os noivos, o local e a data do evento. As listas de enxoval mostram o nome do bebê que está por nascer, ou os nomes dos pais, a cidade e estado deles, além da data prevista para o parto.
À primeira vista, apenas podem ser pesquisadas as listas de casamento para matrimônios celebrados entre 2020 a 2032 e listas de enxoval com datas de nascimento entre 2020 e 2023. No entanto, existem maneiras de driblar as restrições de data para acessar as listas de anos anteriores. Se a pesquisa tiver múltiplos resultados, os mecanismos de busca só exibem os 100 principais resultados das listas de casamento e enxoval. Mas, se nenhum parâmetro de data for inserido, a pesquisa pode trazer resultados fora dos intervalos definidos por padrão. Por exemplo, embora a Amazon só permita selecionar datas a partir de 2020, se você não especificar um intervalo exato ao pesquisar um nome comum, poderá obter resultados antes de 2008.
Porém, a vulnerabilidade mais grave nesse sistema de busca da Amazon talvez seja o fato de que os campos podem ser modificados com ferramentas disponíveis em navegadores como Chrome e Firefox. Uma pesquisa superficial com alteração de data trouxe listas de presentes de casamento que datam de 2004 e listas de enxoval que datam de 2006. Assim, alguém poderia descobrir os detalhes de um lista de presentes criado para um jovem que hoje está com 16 anos de idade. Quem sabe como essa informação pode ser utilizada daqui a dois anos, quando tal adolescente se tornar legalmente adulto?
Segredos (muito) compartilhados
A autenticação baseada em conhecimento, conhecida como KBA (knowledge-based authentication, na sigla em ingês), é uma forma de autenticação de identidade preferida por provedores de serviços, como instituições financeiras, que dependem de segredos compartilhados: informações que são conhecidas apenas por você e seu banco, provedor de e-mail ou outro serviço. Por exemplo, se você perder a senha da sua conta bancária, poderá recuperar o acesso inserindo informações que a maioria das pessoas provavelmente não conhece sobre você, como o nome de solteira de sua mãe ou sua data de nascimento.
Questões de segurança como essa já existem há algum tempo. Os bancos usam o nome de solteira da mãe como forma de autenticação de identidade desde pelo menos 1882. Mas hoje esses chamados segredos são inevitavelmente compartilhados de forma muito mais abrangente do que os titulares de contas imaginam, o que tem causado casos assustadores de identidades roubadas com detalhes pessoais sendo usados ??para autenticação.
O uso de várias listas da Amazon pode revelar grandes quantidades de informações não apenas sobre pessoas vivas, mas até sobre um bebê que ainda não nasceu. Uma lista de casamento mostraria o nome de solteira da mãe, e uma lista de nascimento mostraria a data prevista de nascimento, o local e os nomes da criança esperada ou dos pais. Se o bebê não nascer na data prevista, ainda dá para confirmar a informação na lista de presentes de aniversário da Amazon. O local e a data do nascimento podem, por sua vez, ser usados ??para deduzir uma parte do número do Seguro Social nos EUA – equivalente ao CPF no Brasil.
Usar recém-nascidos para fraude de identidade não é um fenômeno novo. A prática de adotar a identidade de bebês falecidos foi popularizada no romance de Frederick Forsynth, de 1971, “O Dia do Chacal”, no qual um assassino vasculha pequenos cemitérios paroquiais para localizar uma criança morta cuja identidade ele poderia assumir para solicitar um passaporte em seu nome.
Embora a técnica de assumir a identidade de uma criança morta ainda seja usada hoje, as listas públicas de enxoval da Amazon tornaram os que ainda não nasceram muito mais vulneráveis. Os ladrões de identidade não precisam mais examinar os cartórios em busca de certidões de nascimento quando podem apenas pesquisar os registros online.
Medidas de privacidade
Já existem muitas outras maneiras de encontrar informações pessoais espalhadas pela internet, como em perfis de redes sociais e sites de genealogia, mas seu cadastro na Amazon não precisa ser mais uma possibilidade.
Como as listas de presentes da Amazon são públicas por padrão, os usuários precisam alterar manualmente as configurações de privacidade para “compartilhável”, o que torna um registro acessível apenas por meio de um link direto, ou “privado”, tornando-o visível apenas para seus criadores. Outra opção para limitar a exposição de dados é mentir a data de nascimento esperada, para que a Amazon não exiba a data real.
Também é preciso levar em consideração que, além do baú de informações pessoais que as listas públicas oferecem aos ladrões de identidade, os próprios produtos representam um risco de segurança adicional. Qualquer pessoa pode navegar em uma lista de presentes para ver quais produtos têm vulnerabilidades conhecidas a serem exploradas, como monitores de bebês que permitem acesso remoto a seus feeds de vídeo.
Uma vez que o propósito de uma lista tenha sido atendido, há poucas razões para não excluí-la, em vez de deixá-la por mais de 16 anos, como alguns usuários fizeram sem saber. Embora seja fácil excluir uma lista de presentes de casamento, as etapas da Amazon para excluir uma lista de enxoval são confusas, com o primeiro passo trazendo a misteriosa instrução “Vá para o seu”. Talvez a melhor solução preventiva seja não usar um serviço defeituoso que comprometa a privacidade.
Tradução: Antenor Savoldi Jr.