Quando fazemos assumpções, é melhor validá-las antes de as tomar por certas. Por exemplo, tinha assumido que um banco seria pouco dado a partilhar dados dos seus utilizadores com entidades externas, como por exemplo o Facebook e a Google. Descobri que estava enganado.
Fonte: brave.com
Há dias, a Electronic Frontier Fondation (EFF) publicou um estudo sobre uma nova funcionalidade proposta pela Google para o seu browser, o Chrome. Não sendo tonta, esta empresa leu para onde sopram os ventos e apresentou a sua solução, chamada de Privacy Sandbox, para fazer de contrapeso às medidas que outros browsers adoptaram e para se preparar para os sucessivos processos que legisladores têm levantado quanto à privacidade dos utilizadores. Outros browsers como o Firefox, Opera, Safari, Edge e Brave – uns mais do que os outros, têm incluído tecnologias que limitam de forma eficaz a recolha de dados pessoais. A proposta da Google é um faz de conta que vai colocar sob controlo o far west que é a recolha de dados dos utilizadores. Na verdade, traz algumas melhorias, sem no entanto mudar o essencial. Ou não fosse o modelo de negócio da Google baseado na venda de publicidade direccionada, a qual precisa de se alimentar dos dados dos utilizadores. Essencialmente, se o utilizador não paga por um serviço, é porque ele é o produto.
Por causa destas manhas, passei a usar o browser Brave na maior parte das situações, até mais do que o Firefox (a minha segunda escolha). Aposto que será uma escolha temporária, dado o valor nulo que as promessas têm hoje em dia. No futuro, também este browser poderá ser como os outros, mas neste momento não o é.
Tecnicamente, o Brave tem a mesma base do Chrome (partilham o mesmo código fonte de open source), mas acrescenta algumas funcionalidades interessantes, como por exemplo ter definições de privacidade gerais para todos os sites, mas podendo ser diferentes caso a caso, se necessário. Desta forma, quando alguns sites optam por ser demasiado intrusivos, bloqueio-lhes os scripts e passam à história. É certo que, desta forma, algumas funcionalidades não ficarão disponíveis, mas paciência – é o preço a pagar.
Fonte: brave.com
Foi desta forma que descobri que o BCP partilha dados com outras entidades exteriores ao banco.
Fonte: relatório do browser Brave sobre o site millenniumbcp.pt (imagem capturada em 03/09/2019)
Portanto, o Facebook e a Google (dona da empresa Doubleclick) têm o meu historial de acessos ao BCP. É mais um pedacinho de informação oferecida a estas empresas para construírem perfis sombra, mesmo de quem não seja seu cliente. Mas, sobretudo, dado o carácter sigiloso com que os bancos se vestem, não deixa de ser surpreendente este descuido.
[Actualização 04/09/2019]
Nem a propósito, o Firefox lançou uma nova versão que leva a privacidade dos utilizadores ao mesmo nível do Brave. Falta-lhe, contudo, a possibilidade de adaptar as regras de privacidade para casa site individualmente (apenas permite defini-las globalmente para todos os sites).
Ainda sobre o Firefox, os utilizadores deste browser que queiram evitar que o Facebook os siga quando navegam na web, podem instalar uma extensão do Firefox para esse efeito. Com esta extensão, o Facebook não conseguirá recolher dados de utilizador fora do Facebook, situação que acontece devido aos botões de Like, login, e cookies que diversos sites contêm nas suas páginas.
Com esta nova versão, o nível de privacidade entre o Firefox e o Brave fica semelhante, apenas perdendo o primeiro para o segundo quando à versatilidade de ajustar as regras de privacidade site a site.
It’s a Brave New World…
E tem forma de descobrir se outros bancos ativos em Portugal fazem o mesmo que o BCP?
Basta usar o Brave para aceder aos diversos sites.
Fui espreitar em alguns.
NOVO BANCO:
Montepio:
Santander:
Banco de Portugal:
(14 trackers, no total, sendo a maioria do youtube)
Estou a ver que isto é uma festa. Se tiver pachorra, ainda hei-de ir espreitar o que esta gente diz quanto a RGPD.
Os links supra indicam qual a origem dos trackers encontrados nos diversos bancos.
[editado]
Estava à espera de quê do Banco da Padralhada ?
https://expresso.pt/opiniao/opiniao_miguel_sousa_tavares/da-opus-dei-a-maconaria-a-incrivel-historia-do-bcp=f203290
http://portugalmundial.com/opus-dei-nas-financas-e-na-banca/#
https://sicnoticias.pt/programas/mas-acoes/2018-09-18-BCP-ou-o-banco-da-Opus-Dei–1
Não sou eu que digo
Que máfia.
Não consegui aceder aos linques que colocou.
Pode dar-me uma resposta objetiva? Esses outros bancos fazem ou não fazem o mesmo que o BCP?
Sim, fazem.
Os links são os serviços de “tracking” que os diversos bancos inserem na sua página principal.
Então isso quer dizer que, de cada vez que eu faço login no meu banco, a Google e o Facebook tomam conhecimento disso?
Google e Facebook ficam com a informação disponível, sim. Se a usam ou não, não sei. Mas conhecendo o padrão destas empresas, que aproveitam toda a informação para fazerem profiling dos seus utilizadores, diria que a usam.
Quem opta por colocar estes serviços nas suas páginas fá-lo porque recebe valor em troca. Por exemplo, o Google Analytics é uma ferramenta poderosa para análise de tráfego na web. Idem para o Facebook Audience Insights. No entanto, para que os donos destas páginas tenham essa funcionalidade, é preciso colocar nessas páginas código fornecido pela Google ou Facebook. Esse código cria cookies no computador do utilizador e envia dados para os fornecedores de serviços. Este código faz parte do que se costuma chamar de “trackers”.
Estas cookies são pequenos ficheiros criados pelos sites para que estes guardem informação. Permite, por exemplo, que se continue autenticado no site quando a ele se volta. Estas cookies não são problemáticas.
Por outro lado, há cookies criadas pelos botões de Like do Facebook ou pelos serviços de análise de tráfego, tais como Google Analytics e Facebook Audience Insights. Estas cookies permitem que estes serviços recolham dados sobre o utilizador, mesmo quando não se está, por exemplo, no Facebook. Funciona assim: 1) alguém quer ter o n.º de likes do FB numa página, pelo que insere nessa página o código fornecido pelo FB; 2) esse código cria uma cookie onde armazena dados no computador do utilizador e, simultaneamente, envia-os para o servidor do FB para processamento (só assim é que os serviços de análise poderiam funcionar); 3) quando o utilizador vai a outro site, se este também tiver o botão de Like do FB, o respectivo código irá ler a cookie de tracking, assim obtendo informação sobre outros sites onde o utilizador esteve. Estes trackers são problemáticos e registam uma imensidão de dados (por exemplo, os óbvios como IP, URL, tempos de acesso ao site, etc. mas também outros como comportamentais, como por exemplo movimentos do rato no site, onde o utilizador clica, tempo que demora em cada elemento tais como vídeos, etc.). São problemáticos porque mesmo quem não tenha conta no Facebook acaba por fornecer os seus dados para o serviço graças a botões como Like e Login, os quais depois são cruzados com muitas outras variáveis até que é construído um perfil sobre o utilizador (os tais shadow profiles). A única forma de ganhar controlo sobre esta recolha de dados é usando browsers que activamente a bloqueiem (Brave e Firefox com a extensão “Facebook Container”).
Convém enfatizar que é indiferente ter conta no FB e quejandos ou não, o tracking é feito na mesma.
Mas esse é que é precisamente o tópico em questão: os browsers podem impedir o tracking (cf. Firefox com a extensão “Facebook Container”).
Post actualizado com informação sobre a nova versão do Firefox.
Boas
Qual a sua opinião do AdBlock Plus ?
Conheço em termos de especificações, apesar de não ser utilizador. Do que sei, é eficaz no bloqueio de determinados anúncios, permitindo outros que consideram aceitáveis. Também sei que pode bloquear algum tracking, caso a opção seja activada. Quando tiver algum tempo livre investigarei um pouco mais.
É a opção errada, já que passaram a receber dinheiro para permitir a remoção da lista. O melhor é o uBlock, mas a versão uBlock origin, por razões semelhantes.
A partir daí, depende das listas a que se subscreve, sendo algo conservador por defeito, e das opções de conveniência que se escolhe. Tem a vantagem de poder bloquear elementos da página para não estragar tanto o visual.
E lembrei-me de outra coisa que faz que tenho dúvida se outros fazem. Há uma técnica mais recente de fazer o tracking com pedidos ao mesmo servidor do conteúdo, não se podendo assim bloquear por url. São necessárias listas manuais que são postas nas tais listas de filtros. Não sei o quão comum é, porque a configuração do lado do servidor é complexa, mas existe.