Life360, um aplicativo amplamente utilizado por 33 milhões de usuários globalmente para segurança familiar, era promovido como uma forma conveniente para os pais monitorarem a localização de seus filhos através de seus smartphones. No entanto, descobriu-se que o aplicativo está compartilhando informações sobre o paradeiro de crianças e famílias com cerca de doze corretores de dados, os quais disponibilizam esses dados para qualquer interessado em adquiri-los.
Por meio de entrevistas com dois ex-trabalhadores da empresa, assim como com dois indivíduos que anteriormente trabalharam em empresas de dados de localização Cuebiq e X-Mode, The Markup descobriu que o aplicativo atua como um canal de transmissão de dados para uma indústria questionável que opera de forma obscura, com poucas proteções para evitar o uso indevido dessas informações delicadas. Os ex-trabalhadores conversaram com The Markup sob a condição de anonimato, uma vez que ainda estão empregados na indústria de dados. Eles concordaram em falar devido a preocupações com a segurança e privacidade dos dados de localização, assim como um desejo de trazer mais transparência à economia opaca dos dados de localização. Todos eles mencionaram que a Life360 é uma das principais fontes de dados para essa indústria.
“Não podemos confirmar nem negar se Life360 é uma das principais fontes de dados para a indústria”, afirmou o fundador e CEO da Life360, Chris Hulls, em um e-mail respondendo às perguntas do The Markup. Ele destacou que os dados são essenciais para o modelo de negócios da empresa, permitindo oferecer serviços gratuitos para a maioria dos usuários, incluindo recursos de segurança que beneficiam os motoristas e podem salvar vidas.
Um ex-engenheiro da X-Mode elogiou os dados de localização inéditos da Life360, considerando-os extremamente valiosos devido à quantidade e precisão. Por sua vez, um ex-colaborador da Cuebiq destacou a importância dos dados de localização da Life360 para as campanhas de marketing da empresa.
O Markup conseguiu verificar com um ex-funcionário da Life360 e um ex-funcionário da X-Mode que X-Mode, além da Cuebiq e da Allstate’s Arity, está entre as empresas para as quais a Life360 vende informações. Um ex-funcionário da Life360 também informou que a Safegraph estava entre os compradores, o que foi confirmado por um e-mail de um executivo da Life360 visualizado pelo The Markup. Há possivelmente outras empresas que se beneficiam dos dados da Life360 com base nos clientes desses parceiros.
Hulls se recusou a revelar uma lista completa dos clientes de dados da Life360 e a confirmar se a Safegraph é um deles, mencionando cláusulas de confidencialidade presentes na maioria de seus contratos comerciais. Os parceiros de dados só são tornados públicos quando solicitam transparência ou há uma justificativa específica, afirmou Hulls. Ele mencionou que X-Mode adquire dados da Life360 e é um dos aproximadamente doze parceiros de dados. Hulls expressou apoio à legislação que exigiria a divulgação pública desses parceiros.
X-Mode, SafeGraph e Cuebiq são empresas renomadas que oferecem informações de localização, as quais são utilizadas por diversos setores da indústria, incluindo fundos de investimento e empresas de publicidade personalizada.
Bill Daddi, o porta-voz da Cuebiq, explicou por e-mail que a empresa não comercializa informações de localização individuais, mas disponibiliza um conjunto de dados agregados por meio da sua ferramenta “Workbench” para os clientes, incluindo os Centros de Controle e Prevenção de Doenças. A parceria entre a Cuebiq e o CDC, divulgada publicamente, visa monitorar as “tendências de mobilidade” relacionadas à pandemia do COVID-19, utilizando dados de localização bruta provenientes da Life360.
“Segundo Daddi, o CDC envia apenas análises agrupadas e seguras para pesquisa, garantindo que os dados individuais dos usuários sejam mantidos anônimos. Cuebiq não compartilha dados com agências policiais nem fornece informações detalhadas do governo, diferentemente de empresas como X-Mode e SafeGraph.”
X-Mode forneceu informações de localização ao Departamento de Defesa dos Estados Unidos, enquanto a SafeGraph vendeu dados de localização para o CDC, conforme documentos públicos.
X-Mode e SafeGraph não deram retorno aos pedidos de comentários.
O executivo-chefe da Life360 comunicou que a companhia estabeleceu uma diretriz para impedir a venda ou transação dos dados da Life360 para qualquer órgão governamental com propósitos de aplicação da lei em 2020, apesar de ter vendido dados desde pelo menos 2016.
“Segundo Hulls, do ponto de vista filosófico, não é correto que órgãos governamentais busquem informações no setor comercial como alternativa para evitar o respeito ao devido processo legal de um indivíduo”.
A política é igualmente relevante para todas as empresas que recebem dados dos clientes da Life360. Segundo Hulls, a empresa se comunica regularmente com seus clientes para assegurar a conformidade com as regras, embora ele reconheça que monitorar as ações dos parceiros é um desafio.
Um colega do Duke Tech Policy Lab, Justin Sherman, apontou que, embora a Life360 informe em sua política de privacidade que vende informações dos usuários, muitas pessoas desconhecem a extensão do compartilhamento de seus dados.
A política de privacidade da empresa Life360 permite o compartilhamento de informações com terceiros de forma que não permita a identificação direta do usuário. Esses terceiros podem usar as informações para diversos fins.
“Famílias provavelmente não aprovariam o lema, ‘Você pode monitorar a localização de seus filhos, assim como quem adquirir essas informações’, afirmou Sherman.”
Dois ex-trabalhadores antigos da Life360 também afirmaram ao The Markup que, embora a empresa assegure que os dados que vende são anônimos, não adota medidas suficientes para garantir que os registros de localização não possam ser associados aos indivíduos. Eles mencionaram que, apesar de a empresa eliminar as informações do usuário mais evidentes, não se empenhou em “embaralhar”, “criptografar”, agregar ou diminuir a precisão dos dados de localização para proteger a privacidade.
Hulls afirmou que todos os contratos da Life360 proíbem a reidentificação de usuários individuais, juntamente com outras medidas de proteção de privacidade e segurança. Ele mencionou que a Life360 segue as melhores práticas do setor em relação à privacidade e que apenas alguns clientes, como Cuebiq, têm acesso aos dados de localização brutos. De acordo com o ex-engenheiro da X-Mode, a Life360 também compartilha dados brutos com a empresa. Hulls explicou que a empresa confia em seus clientes para anonimizar esses dados conforme suas necessidades específicas.
Você está empregado na Life360, X-Mode ou em outra empresa que negocia informações de localização? Estamos interessados em conversar com você. Entre em contato de forma segura através do Signal no número 646-355-8306 ou por e-mail em [email protected].
De acordo com o fundador da Life360, alguns dos parceiros de dados da empresa recebem informações que foram excluídas e outros não levam em consideração a forma como os dados serão utilizados.
Enquanto isso, a comercialização de informações de localização se tornou cada vez mais essencial para a sustentabilidade financeira da empresa, à medida que busca atingir a lucratividade. Em 2016, a empresa obteve $693.000 com a venda de dados coletados. Já em 2020, esse valor subiu para US$ 16 milhões – representando quase 20% de sua receita naquele ano – provenientes da venda de dados de localização, além de mais US$ 6 milhões provenientes de sua parceria com a Arity.
Enquanto registra uma perda de US $ 16,3 milhões no ano passado, a empresa está ampliando suas operações para incluir outros produtos relacionados à segurança digital, como alertas de violação de dados, monitoramento de crédito e recursos de proteção contra roubo de identidade. Negociada publicamente na Australian Securities Exchange e com planos de expansão para os EUA, a Life360 também adquiriu empresas que ampliam suas capacidades de rastreamento e coleta de dados. Em 2019, adquiriu a ZenScreen, um aplicativo de monitoramento do tempo de tela familiar, e em abril comprou a Jiobit, uma empresa de dispositivos de localização wearable destinada a rastrear crianças, animais de estimação e idosos, por US $ 37 milhões. Hulls afirmou que a Life360 não tem intenção de vender dados dos dispositivos Jiobit ou dos serviços de segurança digital.
No dia 22 de novembro, Life360 revelou seus planos de aquisição da Tile, uma empresa de dispositivos de localização que auxilia na busca de objetos extraviados. Hulls afirmou que a companhia não pretende comercializar informações provenientes dos dispositivos Tile.
Sherman expressou que embora muitas famílias possam encontrar conforto genuíno em uma aplicação desse tipo, é importante considerar que outras pessoas podem ser afetadas negativamente pelos dados coletados. Além disso, ele ressaltou que é possível que a família também seja impactada de maneiras desconhecidas, como a utilização de dados de localização para direcionar anúncios ou pelas seguradoras ao determinarem aumentos nas tarifas com base nos locais visitados.
Hulls afirmou que Life360 não fornece dados pessoais dos usuários a seguradoras de formas que possam influenciar as tarifas de seguro.
A infraestrutura de comunicação de informações.
O app Life360 possibilita ao usuário acompanhar em tempo real a localização exata de amigos ou familiares, incluindo informações como a velocidade de deslocamento e a porcentagem de bateria em seus aparelhos.
Vendido como uma ferramenta de segurança, o Life360 é bem aceito por pais interessados em monitorar seus filhos remotamente. Ele fornece muitas das mesmas funcionalidades de compartilhamento de localização da Apple, mas também inclui recursos de segurança adicionais, como um botão de emergência SOS e detecção de acidentes de veículo. A empresa alega que essas funcionalidades já foram responsáveis por salvar vidas.
No entanto, as informações de localização fornecidas pelo aplicativo Life360 também são usadas como fonte de dados para uma indústria em expansão que vende informações de localização coletadas de celulares. Empresas de publicidade, agências governamentais e investidores estão dispostos a investir grandes quantias de dinheiro em dados de localização e nas análises que podem ser feitas a partir deles.
Enquanto as crianças podem utilizar o aplicativo com a permissão dos pais, a política da Life360 declara que a empresa não vende dados de usuários menores de 13 anos. A empresa segue as restrições da Regra de Proteção de Privacidade Online das Crianças, conhecida como “COPPA”, que impõe limitações aos serviços digitais utilizados por crianças com menos de 13 anos. A Life360 possui métodos de detecção, como a verificação do ID de um dos pais para usuários menores de idade. Segundo a política de privacidade da Life360, a empresa compartilha informações de crianças mais jovens com terceiros somente conforme necessário para analisar dados de comportamento de condução, realizar análises ou apoiar as características e funcionalidades do serviço, e não para fins de marketing ou publicidade.
Os especialistas em marketing utilizam informações de localização para direcionar publicidade a indivíduos nas proximidades de estabelecimentos comerciais, ao passo que os investidores adquirem dados para avaliar a popularidade com base na quantidade de tráfego pedestre. Agências governamentais adquiriram informações de localização para monitorar padrões de deslocamento e, em uma situação específica, para apoiar as operações das Forças Especiais em território estrangeiro.
“Segundo Sherman, a empresa destaca apenas os casos em que prestou ajuda e fez algo positivo, sem mencionar os outros casos em que a comercialização de dados pode ser prejudicial.”
Em julho, um padre católico de alta patente renunciou ao cargo após ser exposto por um veículo de notícias católico que utilizou informações de localização do aplicativo de encontros gay Grindr conectado ao seu dispositivo. As informações foram obtidas por um vendedor não identificado e o relatório sugeriu que o padre frequentava bares gays. Não há evidências de envolvimento do Life360 nesse incidente.
Grindr, assim como outros aplicativos que compartilham informações nessa área, precisa solicitar permissão de localização ao usuário ao iniciar o aplicativo pela primeira vez.
“Não temos conhecimento de nenhum caso em que nossos dados tenham sido rastreados até indivíduos por meio de nossos parceiros de dados”, afirmou Hulls. “Além disso, nossos contratos incluem cláusulas que proíbem explicitamente qualquer tentativa de reidentificação, e tomaremos medidas enérgicas contra qualquer violação dessa condição.”
No caso do Life360, devido à forma como o aplicativo opera, solicita as permissões de localização mais abrangentes disponíveis para garantir seu funcionamento adequado. Enquanto muitos aplicativos que usam dados de localização permitem que os usuários concedam acesso somente durante o uso, o Life360 requer acesso contínuo aos dados de localização para rastreamento em tempo real, sendo essencial para seu correto funcionamento.
No rodapé da tela de permissões, uma informação adicional menciona que os dados de localização dos usuários podem ser compartilhados com parceiros para diferentes finalidades, como detecção de falhas, pesquisa, análise, atribuição e publicidade personalizada. Embora os usuários tenham a opção de desativar a venda desses dados nas configurações de privacidade, essa possibilidade não é claramente divulgada no aviso inicial.
Hulls da Life360 afirmou que muitos de seus usuários aproveitaram essa funcionalidade para evitar a venda de seus dados.
Como impedir que o aplicativo Life360 venda as informações de localização dos usuários.
- Clique no ícone de engrenagem para acessar as “Configurações”.
- Clique em “Privacidade e Segurança”.
- Clique em “Optar por não vender minhas informações pessoais”.
- Mover o interruptor próximo a “Desativar vendas de dados pessoais” para a posição desligado.
Clique no símbolo de engrenagem para acessar as “Configurações”.
Clique em “Privacidade e Segurança”.
Clique em “Optar por não vender as minhas informações pessoais”.
Mover o interruptor próximo a “Desativar vendas de informações pessoais” para a posição desligado.
Aqueles que não escolheram podem ter seus dados do Life360 compartilhados com os parceiros da empresa em até 20 minutos após serem registrados, de acordo com um ex-colaborador do Life360.
Hulls afirmou que essa descrição era “relativamente precisa”, explicando que se aplicava somente a determinados parceiros e situações específicas.
“Ele mencionou que certos cenários de utilização, como a monitorização do fluxo de tráfego nas estradas para prever a duração da viagem em sistemas de navegação veicular e apps de GPS, necessitam de informações atualizadas.”
Pesquisadores de privacidade e proprietários de lojas de aplicativos frequentemente examinam o código dos aplicativos em busca de sinais de compartilhamento de dados com terceiros. No entanto, o Life360 coleta informações diretamente do aplicativo e as disponibiliza para os corretores de dados por meio de seus próprios servidores.
As lojas de aplicativos da Apple e do Google não podem identificar a transmissão de informações de localização para terceiros. De acordo com o pesquisador Wolfie Christl, faz sentido enviar esses dados diretamente dos servidores do fornecedor de aplicativos para manter a privacidade e evitar rastreamento.
Hulls afirmou que a abordagem da Life360 de disponibilizar informações por meio de seus servidores próprios não foi uma tentativa deliberada de impedir que pesquisadores e lojas de aplicativos detectassem isso.
Ele afirmou que não há ligação. Eles desenvolveram sua própria tecnologia de sensores a partir de 2008, antes do surgimento da indústria de dados, e optaram por não utilizar SDKs que pudessem afetar negativamente a bateria ou a interação com sua tecnologia de sensores proprietária.
Google não explicou o motivo pelo qual Life360 pôde vender informações dessa maneira, apesar de ter uma política contra a venda de dados de localização. O representante da Apple, Adam Dema, respondeu com um link para a política de privacidade da Life360, mas não abordou as vendas de dados da empresa para empresas como SafeGraph e X-Mode.
Hulls explicou que Life360 remove as informações pessoais dos dados que são vendidos, os quais podem conter o identificador de publicidade de um dispositivo móvel, endereço IP e coordenadas de localização obtidas pelo aplicativo Life360.
Hulls explicou que o processo de “de-identificação” consiste em eliminar informações identificáveis dos usuários, como nomes de usuário, e-mails, números de telefone, entre outros, antes de compartilhar os dados com os clientes da Life360. Os dados vendidos ainda contêm o ID de publicidade móvel de um dispositivo e as coordenadas de latitude e longitude.
Mesmo que não contenham nomes ou números de telefone, os pesquisadores têm mostrado várias vezes como os dados de localização “anonimizados” podem ser facilmente associados às pessoas a quem pertencem.
Especialistas em privacidade apontam que os IDs de publicidade móvel têm maior importância do que identificadores como os nomes.
“De acordo com Christl, esse código tem a capacidade de monitorar e acompanhar você em diversas circunstâncias da vida, tornando-se um identificador mais eficaz do que um nome.”
Parceiros que geram controvérsia.
A indústria de dados de localização funciona principalmente longe do escrutínio público e com pouca fiscalização ou regulamentação. Alguns dos colaboradores da Life360 têm sido alvo de polêmicas no passado em relação à forma como tratam os dados e a privacidade.
Em 2013, um aplicativo chamado Drunk Mode, que ajudava a evitar conversas em estado de embriaguez, deu início a sua trajetória. Posteriormente, esse aplicativo mudou seu nome para X-Mode. Após uma reportagem da Vice informar que a empresa estaria vendendo dados de localização de aplicativos como o Muslim Pro para empreiteiros do governo dos EUA ligados à segurança nacional, o X-Mode teria sido supostamente banido das principais lojas de aplicativos. Isso gerou preocupações sobre possíveis práticas de vigilância governamental inconstitucional.
De acordo com informações públicas, a empresa X-Mode recebeu mais de US$ 423.000 da Força Aérea dos EUA e da Agência de Inteligência de Defesa durante os anos de 2019 e 2020 em troca de dados de localização. Além disso, a empresa comercializou dados sobre cidadãos americanos em grupos específicos, como aqueles que eram motoristas ou tinham propensão a fazer compras em lojas de departamento, conforme relatado pela Motherboard.
Em agosto, X-Mode foi adquirido pela empresa de inteligência de propriedade intelectual Digital Envoy e passou a se chamar Outlogic.
Em reação à reação negativa em relação à venda dos dados de localização da X-Mode para contratantes de defesa, os novos donos da empresa anunciaram que ela não continuará a comercializar dados de localização dos Estados Unidos para essas empresas.
“Não podemos falar sobre as ações de outra empresa ou como ela utiliza os dados que recebe de outras fontes”, afirmou Hulls. “Contudo, a Life360 e a X-Mode trabalharam juntas para assegurar que a X-Mode e seus clientes não vendam dados provenientes da Life360 para órgãos de aplicação da lei ou para qualquer entidade governamental com esse propósito.”
SafeGraph é uma das principais empresas do setor de dados de localização, contando com investidores como o capitalista de risco Peter Thiel, o príncipe Turki Al Faisal Al Saud, ex-chefe de inteligência da Arábia Saudita, e o executivo da Life360, Itamar Novick.
A companhia se concentra em informações que conectam locais de interesse com coordenadas originais, acrescentando um nível de interpretação aos dados de localização básicos que a empresa recebe. SafeGraph foi reconhecida não só como uma cliente dos dados da Life360, mas também como uma colaboradora importante em uma mensagem de e-mail de um executivo da Life360 vista pelo The Markup.
Em abril, conforme inicialmente divulgado pela Motherboard, a SafeGraph foi concedida um contrato no valor de $420.000 para disponibilizar informações aos Centros de Controle de Doenças, referentes a um serviço de coleta e análise de dados. O Washington Post também noticiou que a SafeGraph compartilhou vastos volumes de registros de localização de telefones celulares com o Departamento de Saúde de D.C. por meio de sua subsidiária Veraset.
A empresa comercializa publicamente informações de localização no mercado de dados da Amazon, oferecendo uma assinatura anual de US$ 240.000 para acesso a dados sobre indivíduos em todo o território dos Estados Unidos. Eles se orgulham de vender dados de localização para diversas finalidades, como marketing, mercado imobiliário, investimento e planejamento urbano.
Senador Ron Wyden expressou preocupação em relação à SafeGraph, considerando-a um “intermediário de dados problemático” para o Google, conforme comunicado por Keith Chu, o diretor de comunicações do senador. Wyden, membro do partido democrata de Oregon, tentou contatar a SafeGraph várias vezes para obter informações sobre a forma como a empresa adquire, vende e compartilha dados de localização dos cidadãos americanos, porém não obteve resposta da empresa, relatou Chu.
Cuebiq colaborou com os Centros de Controle de Doenças, recebendo um contrato de $208,000 em junho para fornecer dados de localização agregados, conforme registros públicos.
O Centro de Controle e Prevenção de Doenças não deu retorno aos pedidos de comentários.
Durante os estágios iniciais da pandemia de coronavírus, Cuebiq emergiu como uma fonte primária de informações de localização utilizada pelos veículos de comunicação para monitorar os deslocamentos das pessoas após as autoridades locais terem implementado ordens de confinamento. Veículos como The New York Times e NBC News utilizaram os dados de localização fornecidos por Cuebiq em suas análises.
Foi proposto que empresas de coleta de dados de localização, como a Cuebiq, estão aproveitando a pandemia para aprimorar sua imagem perante o público, posicionando-se como recursos para o bem-estar coletivo em vez de serem vistos apenas como instrumentos de monitoramento.
Paidi, um representante da Cuebiq, afirmou que os dados coletados pela empresa foram úteis em situações de desastres naturais e emergências de saúde pública.
Conflito entre Segurança e Privacidade
A Life360 foi reconhecida como a principal marca de segurança digital para famílias, no entanto, de acordo com especialistas, as famílias que a utilizam nem sempre estão priorizando sua segurança online.
“De acordo com Christl, é alarmante que um aplicativo que se apresenta como um serviço de proteção para a família esteja vendendo informações precisas de localização para diversas empresas. Isso representa um grande problema, especialmente por se tratar de um app que promete garantir a segurança dos usuários.”
A Life360 teve questões de privacidade no passado. No ano de 2020, adolescentes, insatisfeitos com a falta de privacidade de um aplicativo que permitia que seus pais os rastreassem de perto, recorreram ao TikTok para encorajar outros jovens a inundar o aplicativo com críticas negativas. Durante um período de um mês, o app recebeu mais de um milhão de avaliações de uma estrela, resultando em uma queda na classificação média de 4,6 para 2,7 estrelas.
Hulls acrescentou um recurso chamado “bubbles” que oferece aos pais uma localização aproximada de seus filhos (embora ainda permita que vejam lugares precisos com um passo extra). Além disso, ele contratou e remunerou jovens para promover o aplicativo no TikTok, o que gerou um aumento significativo nas instalações, segundo a empresa.
Estes jovens, porém, possivelmente não sabiam que seus pais não eram os únicos a ter acesso a informações sobre seus comportamentos.
Samira Madi, uma jovem de 18 anos residente no Texas, adotou o Life360 aos 15 anos. Ela não se incomodava com a empresa usando suas informações de localização para propósitos de marketing e publicidade, algo que a empresa admitiu prontamente.
Após descobrir para quem a Life360 estava vendendo dados e a extensão em que isso ocorreu, Madi considerou que a empresa ultrapassou um limite.
Madi expressou em um e-mail sua surpresa ao descobrir que seus dados de localização estavam sendo compartilhados dessa forma, e manifestou preocupação com a possibilidade de serem vendidos a pessoas mal-intencionadas.
Este artigo foi primeiramente divulgado no The Markup e foi republicado com a licença Creative Commons Attribution-NonCommercial-NoDerivatives.
Tema: Privacidade