O contestado corretor de dados X-Mode adquiriu informações de localização do aplicativo de encontros Bro, voltado para homens de mente aberta e gays, do app de maquiagem virtual Perfect365 e do popular aplicativo de streaming ao vivo Tango, além de diversos outros aplicativos de telefone identificados pelo Markup como envolvidos no lucrativo comércio de dados de localização.
O Markup recebeu um conjunto de dados de amostra contendo informações de localização X-Mode obtidas em 2018 e 2019. Os dados foram coletados de 107 aplicativos, totalizando mais de 50.000 pontos de dados de localização de mais de 20.000 IDs de publicidade únicos em 140 países. Cerca de 25% dos aplicativos não estão mais ativos e nenhum deles parece ter o código do X-Mode. Desde então, a X-Mode enfrentou sanções das lojas de aplicativos Google e Apple, além de ser investigada por legisladores e reguladores devido à venda de dados de localização para empreiteiros militares. Esses dados foram fornecidos ao The Markup por um ex-funcionário da X-Mode, e um segundo ex-funcionário da empresa confirmou sua autenticidade.
Geralmente, os corretores de dados de localização estão de acordo para divulgar as fontes de seus dados, que vem de aplicativos de smartphones que pedem aos usuários para compartilhar sua localização com os aplicativos. A Markup identificou recentemente o aplicativo de segurança da família Life360 como um dos maiores fornecedores de dados de localização precisos, vendendo dados para cerca de uma dúzia de empresas, incluindo a X‐Mode. E no ano passado, a Motherboard informou que o X‐Mode comprou dados de localização dos aplicativos de oração muçulmana “Muslim Pro”, “Prayer Times: Qibla Compass, Quran MP3 & Azan”, “Qibla Finder: Prayer Times, Quran MP3 & Azan” e “Qibla Compass—Prayer Times, Quran MP3 & Azan.” Motherboard também revelou que X‐Mode tinha fornecido dados de localização para empreiteiros militares dos EUA, potencialmente colocando muçulmanos que usaram esses aplicativos em risco de vigilância. Não é claro quais aplicativos, especificamente, beneficiaram empreiteiros militares.
O texto destaca que, apesar de não estar atualizado e não incluir uma lista completa de aplicativos que compartilharam dados de localização com o X-Mode, revela a extensão e diversidade das fontes de dados de localização do corretor, antes mesmo de ser amplamente questionado publicamente após um relatório da Motherboard. Além disso, indica que o X-Mode recebeu dados de localização de fontes mais delicadas do que se sabia anteriormente.
O grupo de informações indica que diversos aplicativos, como quatro aplicativos extras de oração muçulmana, compartilharam dados de localização com X-Mode em 2019. Esses aplicativos são: “Qibla Locator: Prayer Times, Azan, Quran & Qibla”, “Full Quran MP3 – 50+ Languages & Translation Audio”, “Al Quran Mp3 – 50 Reciters & Translation Audio” e “Prayer Times: Qibla & Quran”.
Tango, Perfect365 e os criadores dos apps de oração muçulmana não deram retorno aos nossos pedidos de declarações. Scott Kutler, fundador do Bro App, comunicou ao The Markup por e-mail que a empresa não compartilha mais informações de localização do usuário com a X-Mode.
O Markup descobriu que em 2018 e 2019, 107 aplicativos venderam informações ao X-Mode. A relação, fornecida por um ex-colaborador, revela a diversidade de aplicativos que comercializam dados sobre a localização das pessoas.
Em agosto, a empresa Digital Envoy adquiriu a empresa de inteligência de propriedade intelectual e a rebatizou como Outlogic. No site antigo da X-Mode, que ainda está ativo, a empresa destacou que mais de 400 editores de aplicativos forneceram informações precisas sobre a localização das pessoas. Eles afirmaram que os dados da X-Mode representavam mais de 25% da população adulta dos EUA mensalmente. No entanto, no site atual da Outlogic, a empresa menciona que tem acesso a aproximadamente 10% da população adulta dos EUA mensalmente.
Os novos donos afirmaram ter interrompido a transferência de informações de localização dos Estados Unidos para empreiteiros militares, porém a empresa continua atuando no setor de dados de localização, embora em uma escala aparentemente reduzida.
Dois ex-colaboradores do X-Mode informaram ao The Markup que a empresa atingiu seu ápice em termos de coleta de dados em 2018 e 2019, mas houve uma queda significativa dessas capacidades após a reação negativa do público.
X-Mode, Outlogic e Digital Envoy não deram retorno a diversas solicitações de declaração.
Os aplicativos mais populares analisados foram o aplicativo de streaming ao vivo Tango e o aplicativo de maquiagem virtual Perfect 365. Ambos possuem uma ampla base de usuários, com mais de 100 milhões de instalações para a versão Android do Tango e mais de 50 milhões de instalações para o Perfect365 de acordo com as informações disponíveis na Google Play Store.
O Markup foi distribuído a todos os desenvolvedores de aplicativos no grupo de dados de feedback. Oito deles responderam: A-Life Software, LLC com o app “Stock Trainer: Virtual Trading [Stock Markets]”, Difer com o app “Tempo simples e widget do relógio [sem anúncios]”, Neon Roots com o app “CatWang”, JRustonApps B.V. com os apps “Guide for Animal Crossing NL”, “My Currency Converter & Rates” e “My Lightning Tracker & Alerts”, e New IT Solutions Ltd.
Cada um admitiu ter vendido dados para X-Mode em algum momento, mas depois interrompeu essa prática.
Aplicativos com potencial de sensibilidade venderam informações para a empresa X-Mode.
De acordo com especialistas, alguns aplicativos que compartilharam dados de localização com X-Mode podem ter exposto informações confidenciais.
De acordo com Jamal Ahmed, CEO da empresa de consultoria de privacidade Kazient Privacy, a venda de informações provenientes de aplicativos de oração muçulmana poderia expor os usuários à vigilância.
“De acordo com Ahmed, é crucial que organizações muçulmanas valorizem a confiança que as pessoas depositam nelas ao coletar informações ou desenvolver tecnologia. Ele destaca a responsabilidade moral e religiosa de proteger essa confiança, considerando a atual situação global dos muçulmanos como alvos em todo o mundo.”
Outras aplicações sensíveis também compartilharam informações com o X-Mode, como o aplicativo Bro, que utiliza dados de localização para identificar e conectar usuários próximos.
Eric Silverberg, CEO da plataforma de encontros para homossexuais SCRUFF, afirmou que aplicativos voltados para a comunidade LGBTQ+ não deveriam divulgar ou comercializar essas informações.
O uso adicional desses dados para qualquer outro fim traz riscos específicos e desproporcionais para qualquer comunidade minoritária, sendo a comunidade LGBTQ+ particularmente vulnerável devido aos perigos exclusivos que enfrenta em diversas partes do mundo, incluindo os Estados Unidos.
Kutler de Bro afirmou que, embora tenha compartilhado todos os dados de localização com o aplicativo de namoro X-Mode de forma “100% anonimizada”, interrompeu o fornecimento desses dados aos corretores após descobrir que a anonimização dos dados de localização poderia ser revertida.
Os pesquisadores constataram que, mesmo ao utilizar conjuntos de informações tornados anônimos, é possível identificar uma pessoa por meio de dados de localização com apenas quatro pontos de referência.
“Kutler stated that upon realizing third-party brokers might attempt to use details such as a person’s home address to uncover our data, we concluded that it was not worth jeopardizing our users’ privacy (or trust) by continuing to collaborate with X-Mode.”
X-Mode enviou múltiplos e-mails para Silverberg nos anos de 2017 e 2018, nos quais oferecia um mínimo de $100,000 por ano pelos dados dos usuários do SCRUFF, os quais Silverberg compartilhou com The Markup.
“Uma possibilidade é incluir a receita da X-Mode, que pode chegar a pelo menos US$ 100.000 por ano, considerando que sua empresa já coleta dados de localização. Essa sugestão foi feita em um e-mail de apresentação da X-Mode em setembro de 2018.”
Silverberg afirmou que ele sempre recusou as propostas.
No mês de julho anterior, um importante padre católico renunciou após uma reportagem da mídia ter utilizado informações de geolocalização para conectá-lo a um aplicativo de encontros para pessoas do mesmo sexo, monitorando também suas idas a bares frequentados por gays. Não há evidências de que a empresa X-Mode tenha participado do incidente.
Sean O’Brien, o líder da equipe de pesquisa do Yale Privacy Lab, identificou diversos aplicativos LGBTQ que compartilharam informações de localização com a empresa X-Mode ao utilizar o SDK da empresa. O SDK é uma ferramenta incluída em aplicativos para coletar dados. Os desenvolvedores integravam o SDK da X-Mode em seus aplicativos para permitir que a empresa coletasse informações de localização em troca de remuneração.
Em 2020, O’Brien fez a digitalização da loja de aplicativos do Google e encontrou que os aplicativos “Wapo: Gay Dating”, “Wapa: Lesbian Dating, Find a Match & Chat to Women”, “MEET MARKET – Gay Dating App. Chat & Date New Guys” e “FEM – Free Lesbian Dating App. Chat & Meet Singles” continham o código de rastreamento do X-Mode. No entanto, ele afirmou que nenhum desses aplicativos mais o possui.
Os responsáveis pelos aplicativos Mingle e Wapo y Wapa Ltd. não deram resposta a uma solicitação de comentário.
Outras maneiras de fornecer informações de localização aos corretores de dados estão disponíveis, mesmo sem o uso de SDKs. Um exemplo disso é a Life360, que envia dados de localização diretamente aos corretores por meio de seus próprios servidores, conforme relatado anteriormente pelo The Markup.
Dois ex-trabalhadores antigos da X-Mode informaram ao The Markup que a empresa obteve uma quantidade maior de dados de transferências diretas de servidores do que de SDKs.
Este método seria mais desafiador de ser identificado por pesquisadores como O’Brien. Todos os dados na amostra que examinamos parecem ter sido coletados diretamente de dispositivos móveis por meio do SDK.
Pode ser desafiador para plataformas de aplicativos como a Apple e Google identificar e controlar tais transações, conforme relatado pelo The Wall Street Journal. Tanto a Apple quanto o Google afirmaram que determinadas formas de comercialização de dados de usuários são proibidas, independentemente da maneira como os dados são obtidos e compartilhados.
“Segundo Adam Dema, representante da Apple, foi comunicado por e-mail que não é permitido aos aplicativos gerar perfis de usuários a partir de informações coletadas. Apps que forem identificados utilizando o SDK X-Mode devem excluí-lo imediatamente ou correm o risco de serem removidos da App Store.”
Segundo um e-mail do porta-voz do Google, Scott Westover, a política da Google Play proíbe de forma direta os aplicativos que coletam informações sensíveis e pessoais dos usuários com o objetivo de vendê-las.
Nenhuma companhia forneceu informações sobre os métodos utilizados para identificar e bloquear transferências que dependem do servidor.
Criação de oportunidades comerciais.
Um antigo empregado da X-Mode informou ao The Markup que os vendedores eram encarregados de trazer novas fontes de dados de localização. Segundo o ex-funcionário, cada membro da equipe tinha metas anuais de um milhão de novos usuários de aplicativos.
Frequentemente, isso envolveu atingir programadores de aplicativos por meio de representações visuais que destacavam as possibilidades com base na quantidade de usuários, juntamente com exemplos de como os dados foram empregados em campanhas publicitárias segmentadas.
O Markup examinou um conjunto de cartas X-Mode que foi enviado a Silverberg em 2017. Eles observaram que X-Mode comercializou informações de localização para propósitos de publicidade.
Três dos programadores que venderam informações para o X-Mode encerraram suas colaborações após tomarem conhecimento do envolvimento militar. Para eles, a parceria com o X-Mode era, principalmente, uma forma fácil de lucrar com seus aplicativos.
Anuj Saluja, o criador do aplicativo “Stock Trainer: Virtual Trading”, afirmou que interrompeu o compartilhamento de informações de localização com a X-Mode em setembro de 2019. Ele também revelou que recebia entre US $800 e US $1000 por mês do fornecedor de dados.
“O desenvolvedor mencionou em um e-mail que, apesar de X-Mode representar cerca de um quarto de sua receita na época, tomou uma decisão desafiadora ao remover o aplicativo indie de seu aplicativo. Ele acredita que fez a escolha correta em favor dos usuários, enfatizando que a localização dos mesmos não é relevante para o funcionamento do seu app.”
Daniel Fortuna, criador do app “Widget simples de clima e relógio (sem anúncios)”, interrompeu a parceria com X-Mode para obter dados de localização, devido a preocupações de privacidade após ter conhecimento das mesmas por parte do Google.
De acordo com um e-mail enviado por Flex Yan, o criador do aplicativo “CPlus Classifieds Marketplace”, eles encerraram a parceria com a XMode há mais de um ano, ao descobrirem que a empresa revende os dados para alguns parceiros.
As equipes de vendas da X-Mode também tinham a função de comercializar informações de localização para possíveis interessados, com objetivos estabelecidos entre US$ 500.000 e US$ 800.000 em receita anual, conforme relatado por um ex-colaborador da empresa.
As vendas de dados de localização para as Forças Armadas representaram uma parte significativa desses objetivos, conforme evidenciado pelos registros públicos. No ano de 2019, a X-Mode vendeu dados de localização para a Força Aérea por $283.125, e em 2020, por $140.000.
Enquanto o X-Mode não alertou claramente os editores sobre o potencial impacto dos dados de localização na segurança militar, os editores da Kazient Privacy reconhecem que deveriam ter tido mais cautela ao lidar com as informações pessoais das pessoas.
Ahmed expressou preocupação sobre a possibilidade de a informação ser utilizada de forma prejudicial contra as pessoas a quem ele está tentando prestar serviço, caso seja monetizada e vendida.
Este artigo foi inicialmente divulgado no The Markup e foi republicado com a licença Creative Commons Attribution-NonCommercial-NoDerivatives.
Confidencialidade