“O Google tem tudo o que precisa para ler seus dados”, escreve Martin Shelton, funcionário da empresa entre 2017 até setembro deste ano. Shelton agora é pesquisador principal da fundação Freedom of the Press, onde publicou um artigo sobre sue ex-empresa.
A afirmação de Shelton tem implicações muito relevantes. Não somente o Google tem acesso a documentos em sua nuvem, como também estão ao alcance dos organismos do Governo dos Estados Unidos. E mais ainda, os administradores das empresas que usam sua ferramenta colaborativa G Suite e desejam acessar o trabalho de seus funcionários podem fazê-lo, de acordo com o engenheiro.
A mensagem do especialista é que a nuvem é acessível: do Google Docs a uma caixa de entrada de e-mail. Isso não é nenhuma afirmação explosiva em 2019. O EL PAÍS entrou em contato com Shelton para perguntar se, em seu artigo, revelou algum tipo de informação interna, especialmente quando deveria estar sob um acordo de confidencialidade com a empresa após sua saída: “Tudo o que contei lá é baseado em documentos públicos, e cada um pode ir ver por si mesmo”, explica. E acrescenta: “Agora vou investigar como o Microsoft Office 365 lida com os dados dos usuários da mesma maneira”.
O argumento que Martin Shelton quer destacar é que tudo o que está na nuvem é suscetível de ser consultado por terceiros. Portanto, quem lida com informações confidenciais —ou dados que possam ser um dia— que use outro local, mas não a nuvem. “O Google tem muitas razões para acabar lendo suas informações”, escreve o engenheiro.
O Google começou a expulsar aleatoriamente usuários de seu serviço Google Docs em outubro de 2017. Justificou sua decisão de que o usuário “violou os termos de serviço”. Como a empresa pode saber que alguém violou seus termos de serviço em um documento de Drive? Porque os lê. “Usamos sistemas automatizados que analisam seu conteúdo para te proporcionar coisas como resultados de pesquisa adequados, anúncios personalizados e outras funções sobre como você usa nossos serviços. E analisamos seu conteúdo para que você nos ajude a detectar spam [e-mail não solicitado, com fins comerciais], vírus e conteúdo ilegal”, diz o Google em sua política de privacidade.
É útil que a empresa leia seus e-mails
O Gmail detecta spam maravilhosamente porque lê e analisa as mensagens de e-mail de todos os seus usuários. É um serviço útil. Isso não implica que funcionários do Google estejam dando uma olhada em documentos em caixas de entrada para encontrar ilegalidades. Mas poderiam fazer isso se quisessem.
Martin Shelton admite que não sabia nada sobre esse assunto até muito tempo depois de ter começado a trabalhar no Google: “Durante muito tempo eu não tinha a menor ideia”, e acrescenta: “Trabalhei na equipe do [navegador] Chrome. O Google trabalha em tantos projetos diferentes que é difícil acompanhar todos eles. Não sabia sobre esses sistemas até começar a investigá-los seriamente”.
No entanto, sabe-se que os controles físicos —câmeras, vigilância, registros de quem tem acesso— da empresa em seus centros de dados são severos. Porém, pouco se sabe sobre quais funcionários têm permissão para bisbilhotar as informações: “Não sabemos quantas pessoas no Google têm acesso aos dados de usuários ou como é determinado o acesso delas. A que tipo de dados podem ter acesso e em que circunstâncias? Quantas pessoas podem obter essas informações com uma petição legal? Não sabemos”, escreve Shelton.
Poucos no setor de segurança cibernética ficam surpresos ao conhecer esses detalhes. “É o mesmo de sempre. Quando você aceita os termos e condições, se curva à arbitrariedade do fornecedor. Os problemas habituais (não relacionados à mídia) e que demonstram a proteção do Google sobre o conteúdo que é enviado envolvem a supressão de material com copyright ou que se considere que “viola a regulamentação do Google”, diz Enric Luján, professor de Ciência Política especializado em tecnologia e privacidade da Universidade de Barcelona e membro do grupo Críptica.
Os usuários suspeitam menos de que seus documentos na nuvem sejam acessíveis e que é melhor manter suas informações confidenciais em ferramentas criptografadas ou, quase melhor, fora do computador. É mais uma chamada para abrir os olhos, de acordo com o ex-funcionário da empresa de tecnologia: “Fazer que o G Suite seja criptografado é um enorme desafio técnico. Pode potencialmente romper algumas das funções do Google”, diz Shelton ao EL PAÍS. “Se o Google não pudesse ler os e-mails, perderia a opção de escanear para detectar conteúdo malicioso, o que é uma grande vantagem do G Suite. Mas se perde a capacidade de ler seus documentos, você poderá perder a verificação ortográfica ou alguns recursos de busca no Google Cloud. Parece-me bom”, acrescenta.
Quem não estiver de acordo com esse sistema deveria considerar deixar informações confidenciais longe do Google. Não apenas porque a empresa pode vê-la, mas porque o administrador de uma empresa pode acessar esses dados ou porque o Google pode compartilhá-los com quem quiser.
Nas empresas que possuem o G Suite, os “superadministradores” podem ativar o Vault, um sistema que, segundo o Google, serve para a “conservação de dados e descobrimento eletrônico”. Como muitas coisas na empresa de tecnologia, é um eufemismo para dizer que esse “superadministrador” pode recuperar e buscar em todos esses documentos: “Mensagens de Gmail, chats na versão clássica do Hangouts com o histórico ativado, chats de Google Talk com o registro ativado, grupos de Google, arquivos no Google Drive, conversas de Hangouts Chat com o histórico ativado e gravações de Hangouts Meet”, de acordo com o Google. Nada nunca desaparece totalmente, mesmo que você apague. “Em outras palavras, os administradores podem ler seus rascunhos de e-mail ao vivo ou repetir [o ritmo da escrita] depois que você os terminar”, escreve Shelton.
Jornalistas, advogados, funcionários públicos que lidam com dados confidenciais devem ter cuidado com o que armazenam na nuvem. Nada é completamente privado.