Um PSA para pessoas que conversam anonimamente com estranhos na internet: Nem todos os espaços são tão privados.
De acordo com o pesquisador de segurança Indrajeet Bhuyan, Omegle – um site de bate-papo online gratuito onde estranhos são emparelhados aleatoriamente para sessões de bate-papo um-a-um – não é “tão anônimo quanto ele afirma”.
Cada log de chat é salvo no servidor do Omegle após um usuário sair de uma conversa, Bhuyan disse em um e-mail.
“Depois que um usuário desconecta seu chat, Omegle salva todo o log de chat em seu servidor permanentemente”, disse Bhuyan.
A política de privacidade do Omegle afirma que “As mensagens de chat são rastreadas por um sistema automatizado para spam. Em geral, as mensagens não são armazenadas, mas as mensagens que são marcadas como suspeitas podem ser armazenadas indefinidamente, e mensagens selecionadas podem ser lidas por um ser humano para melhorar o software anti-spam da Omegle, ou para outros fins de controle de qualidade”.
Omegle observa que quando você inicia um chat, o carimbo da hora, endereço IP, cookie de identificação “e informações similares para você e seu parceiro de chat” são gravados e podem ser usados para rastrear spammers, hackers e outros potenciais malfeitores do ciberespaço, bem como para “fins de aplicação da lei” ou para compilar dados estatísticos. Todos estes dados são “tipicamente” armazenados durante cerca de 120 dias.
A questão aqui não é que a Omegle afirma que não grava as conversas em sua plataforma – ela afirma corretamente em sua política de privacidade que está coletando um monte de informações sobre seus usuários e, com base no “tipicamente” jogado lá dentro, pode essencialmente segurar todos esses dados pelo tempo que quiser. A questão é que a Omegle é comercializada como um espaço de anonimato voluntário, onde os usuários podem desenvolver companheirismo on-line com estranhos – e a menos que você leia a sua política de privacidade, você provavelmente ignora o fato de que seu bate-papo está sendo gravado desde o início.
“As pessoas no Omegle muitas vezes pensam que seus bate-papos são privados e as conversas são apagadas assim que se desconectam da conversa”, disse Bhuyan. “Devido a essa falsa sensação de segurança, as pessoas muitas vezes compartilham informações sensíveis sobre ela”.
Para iniciar uma conversa é quase instantâneo, e a menos que um usuário leia a página de política de privacidade antes de uma conversa, não há indicação de que suas informações estejam armazenadas. E toda esta informação sensível é susceptível a hackers, o que significa que estas conversas privadas podem acabar em mãos erradas e tornar-se muito públicas. Como o Hacker News informou, estas conversas gravadas requerem “pouco conhecimento de hacking” para serem acessadas, citando o script python de Bhuyan, Omegle-Chat-Hack, como prova de que alguém fora da Omegle pode baixar as conversas do usuário.
Um porta-voz do Omegle disse em um e-mail que eles acham que o hack de Bhuyan era viável ao adivinhar a URL de um chatlog – uma sequência aleatória de letras e números – que um usuário salvou.
“Na prática, isso é principalmente uma preocupação com os chatlogs que os usuários salvaram anos atrás, que tinham URLs mais curtas que eram mais fáceis de adivinhar”, eles disseram. “URLs geradas mais recentemente devem ser muito mais difíceis de adivinhar, mas só para ficar do lado seguro, eu fiz URLs recém-geradas ainda mais longas em resposta a isso”.”
Acreditam que aqueles em risco são provavelmente apenas usuários que salvaram seus chatlogs e aqueles salvos com URLs “que são curtas o suficiente para serem adivinháveis”, mas reiteraram que Omegle fez URLs recém-geradas que são ainda mais longas “para estar do lado seguro com isto”
Agosto 19, 2016, 15:01 p.m.: Esta história foi atualizada.