Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Vazamento de dados na empresa de análise Mixpanel gera questionamentos sobre transparência
Um incidente de segurança cibernética na fornecedora de análises Mixpanel, anunciado poucas horas antes do feriado de Ação de Graças nos EUA, pode estabelecer um novo padrão de como não comunicar um vazamento de dados.
Para recapitular: em uma publicação de blog concisa na última quarta-feira, a CEO da Mixpanel, Jen Taylor, informou que a empresa detectou um incidente de segurança não especificado em 8 de novembro que afetou alguns de seus clientes. No entanto, ela não detalhou como eles foram afetados, nem quantos, apenas afirmou que a Mixpanel adotou uma série de medidas de segurança para ‘erradicar o acesso não autorizado’.
A CEO da Mixpanel, Jen Taylor, não respondeu a múltiplos e-mails da TechCrunch, que incluíam mais de uma dúzia de perguntas sobre o vazamento de dados da empresa. A publicação questionou Taylor se a empresa havia recebido alguma comunicação dos hackers, como uma demanda por dinheiro, juntamente com outras perguntas específicas sobre o vazamento, incluindo se as contas de funcionários da Mixpanel estavam protegidas com autenticação multifator.
Um de seus clientes afetados é a OpenAI, que publicou sua própria postagem no blog dois dias depois, confirmando o que a Mixpanel não conseguiu declarar explicitamente em sua própria publicação: que os dados dos clientes foram extraídos dos sistemas da Mixpanel.
A OpenAI afirmou que foi impactada pelo vazamento porque dependia de um software fornecido pela Mixpanel para ajudar a entender como os usuários da OpenAI interagem com certas partes de seu site, como sua documentação para desenvolvedores.
Os usuários da OpenAI afetados pelo vazamento da Mixpanel provavelmente serão desenvolvedores cujos próprios aplicativos ou sites dependem dos produtos da OpenAI para funcionar. A OpenAI disse que seus dados roubados incluíam o nome fornecido pelo usuário, endereços de e-mail, sua localização aproximada (como cidade e estado) com base em seu endereço IP e alguns dados identificáveis do dispositivo, como o sistema operacional e a versão do navegador. Parte dessas informações é o mesmo tipo de dado que a Mixpanel coleta dos dispositivos das pessoas enquanto elas usam aplicativos e navegam em sites.
Por sua parte, o porta-voz da OpenAI, Niko Felix, disse à TechCrunch que os dados violados extraídos da Mixpanel ‘não continham identificadores como o ID de publicidade do Android ou o IDFA da Apple’, o que poderia ter facilitado a identificação pessoal de usuários específicos da OpenAI ou a combinação de sua atividade na OpenAI com o uso de outros aplicativos e sites.
A OpenAI afirmou em sua publicação que o incidente não afetou diretamente os usuários do ChatGPT e encerrou seu uso da Mixpanel como resultado do vazamento.
Embora os detalhes do vazamento permaneçam limitados, este incidente atrai um novo escrutínio sobre a indústria de análise de dados, que lucra coletando toneladas de informações sobre como as pessoas usam sites e aplicativos.
Como a Mixpanel rastreia toques, cliques e observa sua tela
A Mixpanel é uma das maiores empresas de análise da web e móvel que você pode nunca ter ouvido falar, a menos que trabalhe no espaço de desenvolvimento de aplicativos ou marketing. De acordo com seu site, a Mixpanel tem 8.000 clientes corporativos — um a menos agora, após a saída antecipada da OpenAI.
Com cada cliente da Mixpanel tendo potencialmente milhões de usuários próprios, o número de pessoas comuns cujos dados foram levados no vazamento pode ser significativo. O tipo de dado violado provavelmente varia de acordo com cada cliente da Mixpanel, dependendo de como cada cliente configurou sua coleta de dados e quantos dados do usuário eles coletaram.
Empresas como a Mixpanel fazem parte de uma indústria em expansão que fornece tecnologias de rastreamento que permitem que as empresas entendam como seus clientes e usuários interagem com seus aplicativos e sites. Como tal, as empresas de análise podem coletar e armazenar vastas quantidades de informações, incluindo bilhões de pontos de dados, sobre consumidores comuns.
Por exemplo, um criador de aplicativos ou desenvolvedor de sites pode incorporar um pedaço de código de uma empresa de análise como a Mixpanel dentro de seu aplicativo ou site para obter essa visibilidade. Para o usuário do aplicativo ou visitante do site, é como ter alguém observando por cima do seu ombro sem o seu conhecimento enquanto você navega em um site ou usa um aplicativo, enquanto ele compartilha constantemente cada clique ou toque, deslize e pressionamento de link com a empresa que desenvolve o aplicativo ou site.
No caso da Mixpanel, é fácil ver os tipos de dados que a Mixpanel coleta dos aplicativos e sites em que seu código está incorporado. Usando ferramentas de código aberto como o Burp Suite, a TechCrunch analisou o tráfego de rede que entra e sai de vários aplicativos com código da Mixpanel dentro — como Imgur, Lingvano, Neon e Park Mobile. Em nossos vários testes, vimos vários graus de informações sobre nosso dispositivo e atividade no aplicativo sendo enviadas para a Mixpanel enquanto usávamos os aplicativos.
Esses dados podem incluir a atividade da pessoa, como abrir o aplicativo, tocar em um link, deslizar uma página ou fazer login com seu nome de usuário e senha, por exemplo. Esses dados de registro de eventos são então anexados a informações sobre o usuário e seu dispositivo, incluindo o tipo de dispositivo (como iPhone ou Android), a largura e altura da tela, se o usuário está na rede telefônica ou Wi-Fi, a operadora de rede celular do usuário, o identificador único do usuário logado para aquele serviço (que pode estar vinculado ao usuário do aplicativo) e o carimbo de data/hora preciso para aquele evento.
Os dados coletados às vezes podem incluir informações que deveriam ser proibidas. A Mixpanel admitiu em 2018 que seu código de análise coletava inadvertidamente as senhas dos usuários.
Os dados coletados pelas empresas de análise devem ser pseudonimizados — essencialmente embaralhados de uma forma que não inclua detalhes identificáveis, como o nome de uma pessoa. Em vez disso, as informações coletadas são atribuídas a um identificador único, mas aparentemente aleatório, que é usado no lugar do nome de uma pessoa; uma forma ostensivamente mais preservadora da privacidade de armazenar os dados. Mas dados pseudonimizados podem ser revertidos e usados para identificar as identidades do mundo real das pessoas. E os dados coletados sobre o dispositivo de uma pessoa podem ser usados para identificar exclusivamente aquele dispositivo, conhecido como ‘impressão digital’ (fingerprinting), que também pode ser usado para rastrear a atividade desse usuário em diferentes aplicativos e na internet.
Ao rastrear o que você faz em seu dispositivo em vários aplicativos, as empresas de análise facilitam para seus clientes construírem perfis de usuários e sua atividade.
A Mixpanel também permite que seus clientes coletem ‘replays de sessão’, que reconstroem visualmente como os usuários da empresa interagem com um aplicativo ou site para que o desenvolvedor possa identificar bugs e problemas. Os replays de sessão devem excluir informações pessoalmente identificáveis ou sensíveis, como senhas e números de cartão de crédito, de qualquer sessão de usuário coletada, mas esse processo também não é perfeito.
Pela própria admissão da Mixpanel, os replays de sessão às vezes podem incluir informações sensíveis que não deveriam ter sido registradas, mas são coletadas inadvertidamente. A Apple reprimiu aplicativos que usam código de gravação de tela após a TechCrunch expor a prática em 2019.
Dizer que a Mixpanel tem perguntas a responder sobre seu vazamento é talvez um eufemismo. Sem saber os tipos específicos de dados envolvidos, não está claro o quão grande é esse vazamento ou quantas pessoas podem ser afetadas. Pode ser que a Mixpanel ainda não saiba.
O que está claro é que empresas como a Mixpanel armazenam grandes bancos de informações sobre as pessoas e como elas usam seus aplicativos, e estão claramente se tornando um foco para hackers maliciosos.
