Diga-me quais dados solicitas a Apple e te direi que tipo de governo és

ElevenPaths    31 julio, 2019

Algumas vezes governos de apoiam em grandes corporações para realizar seu trabalho. Quando determinar uma ameaça passa por conhecer a identidade ou ter acesso aos dados de um potencial atacante ou vítima em perigo, a informação digital que as empresas armazenam podem ser vitais para uma investigação, evitando uma catástrofe.

A Apple publicou um relatório sobre quais dados são solicitados por governos, além de indicar em que medidas esses pedidos são atendidos. Desde a eliminação de apps da loja de aplicativos, passando por acesso de contas privadas. Que governo pede oque? Elaboramos alguns gráficos para tentar responder essa questão.

Solicitações baseadas em dispositivos

Essa tabela representa as solicitações de informações de dispositivo. Esse tipo de solicitação acontece quando há investigações sobre roubos ou perdas de dispositivos. Elas ocorrem também quando estão em curso análises de fraude. São solicitados, normalmente, detalhes dos clientes Apple associados aos dispositivos ou conexões aos serviços da empresa, desde um IMEI até números de série de aparelhos.

Podemos notar que a China é a líder, solicitando dados de clientes que estão associados às contas ou dispositivos Apple. Pode-se imaginar que a pirataria, tão comum no país, e fraudes sejam a razão dos grandes números.

Solicitações baseadas em dados financeiros

Esse pedidos estão, quase sempre, relacionados à investigações relacionadas à atividades fraudulentas com cartões de crédito ou gift cards utilizados para comprar produtos da Apple.

Os EUA e a Alemanha são os países com mais solicitações desse tipo, o que pode ser explicado pela quantidade de fraudes relacionados com cartões de crédito nos EUA (ainda que pareça estranho, nos Estados Unidos é muito habitual solicitar somente uma assinatura para validar o pagamento). Aqui observamos que são atendidas menos solicitações.

Solicitações baseadas em contas

São solicitadas informações relacionadas a contas que tenham sido utilizadas desrespeitando a legislação local dos países ou os termos de uso da própria Apple. Nessa solicitação estão incluídas contas de iCloud e iTunes, nome de usuário, endereço e o conteúdo armazenado na nuvem (backup, fotos, contatos etc.)

Essa talvez seja a medida mais intrusiva em que a Apple compartilha conteúdo privado. De novo, China e EUA são os que mais fazem solicitações desse tipo. Curiosamente, os pedidos da China são atendidos em 98% das vezes, já os do EUA são atendidos “somente” 88% das vezes. A Apple pode negar as solicitações se considerar que há algum erro na forma ou na razão do pedido. Precisamos considerar que a Apple além de oferecer os dados, pode compartilhar “metadados” não relacionados diretamente aos arquivos, isso não é contado como solicitação atendida ainda que ofereça alguma informação pessoal.

Solicitações relacionadas com preservação de contas

Seguindo a regulamentação da Lei de Privacidade em Comunicações Eletrônicas (ECPA) dos EUA, pode ser solicitado à Apple que “congele” uma conta por até 180 dias. Essa é uma medida prévia ao pedido de acesso à conta enquanto se espera uma autorização legal para acesso aos dados, que evita que o usuário apague suas informações.

Os EUA são, de novo, o país que mais faz solicitações desse tipo. Curioso é o fato de que a China desaparece neste gráfico, apesar de que essa solicitação é um passo prévio ao pedido de acesso de dados, em que a China é bem ativa. Será possível que na China não haja problemas em obter autorizações judiciais?

Solicitações de apagamento ou restrição de contas

Pedidos de deleção de Ids da Apple ou restrições de acesso são muito menos habituais. Os Estados Unidos fizeram esse tipo de solicitação 6 vezes e 2 contas foram apagadas. O restante dos países, uma ou duas vezes, que nunca foram atendidas.

Solicitações Emergenciais

Também amparado pela ECPA, é possível fazer solicitações de dados em situações emergenciais, em que os dados serão supostamente usados para evitar perigo de morte ou dano sério a indivíduos.

Curiosamente aqui, o Reino Unido lidera o ranking de pedidos com 198 contas, ainda que eles não tenham sido todos atendidos. Os EUA vêm na sequência, outros países realizam somente algumas solicitações, quase sempre atendidas. Será que o Reino Unido se limita a solicitar dados dos seus cidadãos à Apple somente em situações emergenciais?

Solicitações relacionadas a retirada de apps da loja de aplicativos

Normalmente esses pedidos estão relacionados a apps que violam alguma lei local.

A China lidera esse ranking, de longe. Seguido pela Noruega, Arábia Saudita e Suíça. Aqui, Estados Unidos que aparece muito no ranking de solicitação de informações gerais, desaparece por completo.

No relatório também se fala de acesso aos dados solicitados por terceiros, por uma ordem judicial. São 181 solicitações, das quais a Apple atendeu 53.

Conclusões

As conclusões são complexas e podem ser encaradas como um “copo meio cheio ou meio vazio”. Podemos achar que os governos demandam muita informação pessoal porque seus sistemas de justiça funcionem de maneira mais ágil ou que as fraudes aconteçam mais nesses países justamente porque os governos não são eficientes. A interpretação é livre, o que podemos fazer são algumas interpretações baseadas nos dados:

  • O interesse da China em eliminar aplicações consideradas ilegais
  • O destaque do Reino Unido para as solicitações de emergência
  • O caráter preventivo dos Estados Unidos que solicita congelamento de contas muito mais do que outros países
  • A Alemanha dedicada às fraudes financeiras relacionadas aos produtos da Apple
  • China, União Europeia, Taiwan e Brasil são os países que solicitam mais dados pessoais

Nesse exercício compilamos em gráficos os dados divulgados em formato planilha pela própria Apple. É importante especificar que todas as solicitações são realizadas por lote, por exemplo, a Apple contabiliza o número de solicitações de remoção de apps que podem conter um número indeterminados de apps dentro de cada uma delas. Igualmente com as solicitações de contas e o número de contas inclusos em cada pedido. Quando a Apple reporta o número de solicitações atendidas, fala de pedidos e não do total de contas. Por exemplo, a Apple recebe 10 solicitações, com 100 contas entre todos os pedidos e diz que atendeu 90% deles, isso não nos permite saber quantas contas individuais há em cada um desses pedidos. É um exercício que, se não parece muito exato, nos dá uma ideia aproximada da quantidade real de dados processados pela Apple.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *