Ferramentas de caixa de correio: uma ameaça à privacidade e segurança dos dados do consumidor.

Publicados: 2021-08-18

O tópico cada vez mais polêmico de privacidade e segurança de dados do consumidor foi destaque recentemente em um artigo do New York Times crítico das práticas de negócios usadas por Slice, o proprietário do aplicativo de gerenciamento de assinatura de e-mail Unroll.me, e Uber. O artigo revelou que Slice vendeu dados de consumidores da Unroll.me para a popular empresa de compartilhamento de caronas.

“O Uber dedicou equipes à chamada inteligência competitiva, adquirindo dados de um serviço de análise chamado Slice Intelligence. Usando um serviço de resumo por e-mail de sua propriedade, chamado Unroll.me, a Slice coletou recibos Lyft por e-mail de seus clientes de suas caixas de entrada e vendeu os dados anônimos para o Uber. ”

Embora o CEO da Unroll.me, Jojo Hedaya, tenha oferecido um pedido de desculpas, ele não satisfez alguns clientes e as seções de comentários em vários sites esquentaram quando alguns clientes solicitaram que seus dados fossem destruídos.

Mas há um problema.

Unroll.me e outras ferramentas como essas podem se reservar o direito de reter indefinidamente seus dados de e-mail, e possuir esse tipo de dados é o que torna empresas como Unroll.me (Slice) tão valiosas.

Por exemplo, em uma resposta à história do Unroll.me no Y Combinator, um colaborador afirmou: “Uma grande parte da compra do Slice do Unroll.me foi para acessar esses arquivos de e-mail. Especificamente, eles queriam procurar tendências de palavras-chave e receitas de compras online. ”

E o que a maioria dos consumidores não percebe é que esse tipo de coleta e venda de dados está ocorrendo com outras empresas de ferramentas de caixa de correio também (por exemplo, Boxbe da eDataSource e OtherInbox and Organizer da Return Path). Anteriormente, abordamos algumas dessas ferramentas em nosso blog A verdade sobre os dados do painel de e-mail .

Por que os consumidores estão entregando voluntariamente seus dados de e-mail?

Você lê os Termos e Políticas de Privacidade de todos os serviços online que usa?

De acordo com o estudo recente The Biggest Lie na Internet: Ignorando as Políticas de Privacidade e os Termos de Serviço das Políticas de Serviços de Redes Sociais , os pesquisadores descobriram que 86% das cobaias gastaram menos de um minuto lendo os termos de serviço, e surpreendentes 97% gastaram menos mais de cinco minutos. Além disso, menos de 2% notaram que, ao concordar com os termos dos serviços, estavam na verdade “fornecendo um filho primogênito” como forma de pagamento pelo acesso ao aplicativo de teste.

Como a maioria dos consumidores, presumimos que os usuários de ferramentas de caixa de correio gratuitas raramente leem as políticas com as quais concordam. Mas o velho ditado continua verdadeiro: se você não está pagando para usar um produto - o newsflash - você (e seus dados) é o produto.

Return Path eDataSource Privacidade de Dados do Consumidor e Ameaça à Segurança

Usuários de ferramentas gratuitas de caixa de correio: você (e seus dados) são o produto.

A veterana da indústria de e-mail, Laura Atkins, recentemente questionou as ferramentas de caixa de correio e a indústria de dados de painel de e-mail em relação aos riscos de segurança para os usuários. E em resposta às preocupações de Atkin, o diretor de privacidade da Return Path, Dennis Dayman, fez o seguinte comentário:

“Nosso fluxo de registro deixa claro que usamos os dados dos usuários para fins de pesquisa de mercado, mas de forma anônima e agregada. Fazemos essa declaração em inglês simples e conciso logo no momento do registro - não enterrada em um clique nos Termos de Serviço que nenhum usuário verá.

Mas é assim que se lê a página de inscrição do Organizador da Return Path:

“Ao oferecer este serviço, coletamos e compartilhamos certas informações sobre mensagens de e-mail não pessoais (por exemplo, e-mails comerciais). Esses dados nos ajudam a obter insights sobre o comportamento do consumidor e também nos ajudam a melhorar o ecossistema de e-mail, entendendo melhor como as pessoas interagem com as mensagens de e-mail não pessoais que recebem. ”

Embora concordemos com Dayman da Return Path de que os usuários devem receber uma explicação em “inglês simples” sobre o que suas ferramentas farão com os dados do cliente, sem a necessidade de ler uma longa política de privacidade, sentimos que a cópia do site do Organizer não atende a essa necessidade.

Portanto, fizemos a coisa que a maioria dos usuários da ferramenta de caixa de correio provavelmente nunca faria: ler a Política de Privacidade de Dados do Return Path com aproximadamente 4.653 palavras.

Observação: não somos advogados, portanto, consulte um se quiser uma opinião legal sobre qualquer uma das informações discutidas neste blog.

Escondido na política de privacidade, descobrimos que a ferramenta está coletando “mensagens comerciais, transacionais e de relacionamento” (Informações de Uso do Serviço) - não, não apenas correspondência comercial. E as “mensagens de relacionamento” são emails pessoais? Segundo o site, o foco da ferramenta é o e-mail não pessoal. Infelizmente, após várias leituras desta seção na política, não conseguimos encontrar uma explicação clara do termo.

Listadas em outras partes da política estão seções relacionadas a informações de identificação não pessoais que estão sendo coletadas e vendidas a terceiros (Informações de Uso do Serviço), que os e-mails podem ser armazenados indefinidamente (Retenção de Informações Pessoais), que o aplicativo pode rastrear a localização do usuário quando conectado no celular dispositivos (Informação Agregada), e que seus dados podem ser vendidos para outra empresa (Mudança de Controle / Transferência de Ativos) a qualquer momento. O que acontecerá com seus dados se outra empresa adquirir a Return Path? Não está claro para nós.

Você vê essa informação comunicada em "inglês simples" aqui:

App Organizer Email da Return Path

Fonte: Organizador da Return Path

Nem nós.

Vender receitas do Lyft é apenas a ponta do iceberg

A venda de dados do Unroll.me para o Uber deixou muitas pessoas chateadas, mas nem sequer arranha a superfície da coleção mais ampla de dados que está sendo vendida em outros lugares.

Por exemplo, a Return Path oferece várias ferramentas de caixa de correio gratuitas para os consumidores e "coleta dados detalhados de recibos do consumidor de uma ampla variedade de fontes" para mostrar "os dados de recibo de nível de item podem mostrar o que os consumidores estão realmente fazendo", supostamente coletando dados sobre pagamentos, bancos, varejistas, comércio eletrônico, etc .:

Preocupações com privacidade e segurança da Return Path Consumer Insights

Fonte: Return Path Consumer Insights

No site da Return Path, logo acima desta imagem, e no momento deste blog, estava escrito “Return Path oferece dados do consumidor como você nunca viu antes”. Se o gráfico acima for uma representação precisa dos dados que a Return Path está coletando e vendendo, sua coleção de “Consumer Insight” vai muito além das receitas da Lyft. Cotações de seguros, extratos online, histórico de compras, hábitos de visualização do Netflix, troca de operadora de telefonia ... Esse é o tipo de informação que os consumidores imaginaram compartilhar quando se inscreveram para uma ferramenta gratuita de caixa de correio?

Ironicamente, parece que as próprias ferramentas de caixa de correio que pretendem melhorar a produtividade do usuário e ajudá-lo a evitar spam podem, na verdade, ter seus dados comprados e analisados ​​para informar mais, melhor spam (ou ainda melhor spam) com base nas informações coletadas das contas de e-mail do usuário.

Lembre-se, se estiver usando uma ferramenta de caixa de correio gratuita, você (e seus dados) são o produto.

Ferramentas de caixa de correio de terceiros podem representar um grande risco de segurança

A postagem do Y Combinator também alegou problemas anteriores com segurança no Unroll.me:

“Trabalhei para uma empresa que quase adquiriu a Unroll.me. Na época, que foi há mais de três anos, eles mantinham uma cópia de cada e-mail seu que você enviou ou recebeu durante o serviço. Esses e-mails foram mantidos em uma série de baldes S3 mal protegidos ”.

Baldes S3 mal protegidos? Manter uma cópia de cada e-mail? Independentemente de ser enviado ou recebido? Se isso for verdade, pode significar que o armazenamento S3 do Unroll.me está repleto de recibos de compra, redefinições de senha e quem sabe que tipo de mensagens pessoais. Mesmo mensagens enviadas totalmente alheias ao uso da ferramenta podem ser armazenadas.

E quanto às credenciais de login? Embora alguns provedores (Gmail, Yahoo, Outlook) forneçam autenticação OAuth, AOL e Apple (icloud.com) não, e esses aplicativos de caixa de correio pedem suas credenciais de login, incluindo sua senha, para usar o serviço. Embora todas as empresas afirmem que seguem as melhores práticas padrão de segurança, as violações de dados se tornaram uma ocorrência comum em muitas empresas de software.

Várias fontes indicaram que algumas dessas ferramentas solicitam acesso total de leitura e gravação à sua conta. Isso significa que o aplicativo, ou qualquer pessoa que possa violá-lo, pode ter liberdade para gerenciar sua caixa de entrada como quiser.

Como impedir que ferramentas de caixa de correio coletem seus dados de e-mail

Se você é um usuário do Unroll.me, Boxbe, Organizer ou outras ferramentas de caixa de correio e deseja revogar sua capacidade de coletar, armazenar e vender seus dados, aqui estão as instruções sobre como desligar o acesso:

  • Gmail: Visite a página de segurança e vá para “Aplicativos e sites conectados” em “Login e segurança” no menu à esquerda. Clique no serviço que deseja remover e ele mostrará o botão azul “Remover”. Responda “Sim” quando perguntado: “Tem certeza de que deseja remover o acesso?”
  • Outlook: usando suplementos no Outlook.com ou Outlook na web
  • Yahoo !: Remover permissão para um aplicativo de terceiros

Para usuários que compartilharam suas credenciais de login de email com uma ferramenta de caixa de correio, você deve alterar imediatamente a senha de sua conta de email.

Também encorajamos os usuários a entrar em contato com o proprietário da ferramenta e pedir esclarecimentos sobre se e como suas informações pessoais (por exemplo, mensagens transacionais, mensagens pessoais, credenciais de login) estão sendo armazenadas, junto com um link para a seção de sua política de privacidade que lhes permite faça isso.