Quando os cookies foram criados nos tempos de uma web mais inocente, o objetivo primário deles era armazenar pequenos fragmentos de dados no próprio computador do usuário, a fim de oferecer benefícios de usabilidade. Com o cookie preservado, era possível, por exemplo, manter o usuário autenticado por mais tempo em determinados sites ou preservar configurações de visita. Lamentavelmente, os cookies passaram a apresentar tanto problemas de segurança como problemas de privacidade, com sites e redes de anúncios utilizando o recurso para rastrear os usuários através de sua navegação, muitas vezes sem o consentimento ou mesmo sem o conhecimento destes.
Foram décadas de debates e alertas até o conceito de cookie passar a receber a atenção devida por parte de órgãos reguladores. Se hoje tantos e tantos sites perguntam aos usuários se eles desejam aceitar cookies, é por caso dos esforços legislativos de forças globais, como a União Europeia. A efetividade desses mecanismos de proteção pode ser questionável, mas o fato é que o problema gerado pelos cookies é de conhecimento mais ou menos geral e as empresas que abusam da ferramenta podem sofrer os rigores da lei.
É nesse momento que surge então o Web Fingerprinting…
O que é Web Fingerprinting?
Web fingerprinting, também conhecido como browser fingerprinting, é uma técnica relativamente nova de rastreamento digital que vai além do cookie e permite identificar e rastrear indivíduos com base em características únicas do seu navegador e dispositivo. Ao contrário dos cookies, que podem ser facilmente bloqueados ou apagados, o web fingerprinting explora informações como resolução da tela, sistema operacional, versão do navegador, plugins instalados, configurações de idioma e outros atributos, como as fontes de caracteres instaladas em seu computador. Essas são características que geralmente não mudam com frequência e podem ser capturados sem o conhecimento ou consentimento do usuário. Desta forma, é possível montar uma espécie de “impressão digital” do usuário, única para aquela configuração e dispositivo.
Essa impressão digital pode ser usada para identificar o indivíduo de tal maneira que nem o uso do modo Privacidade convencional de um navegador ou mesmo o uso de uma VPN consiga camuflar. Essa identificação é especialmente preocupante porque não requer a instalação de qualquer software ou consentimento do usuário, tornando difícil sua detecção e evasão.
A prática já atingiu o estado comercial: a fingerprint.com garante 99.5% de precisão para identificar usuários com sua API, de uma forma persistente que pode durar “meses ou anos, mesmo quando os navegadores são atualizados”. Limpar o cache e os dados do navegador não surte efeito e a “impressão digital” gerada continua sendo carregada em diferentes sessões.
Como Funciona o Web Fingerprinting?
O web fingerprinting é baseado em uma combinação de informações coletadas por meio do navegador do usuário. Quando um usuário visita um site, o código JavaScript no site é capaz de coletar várias informações sobre o navegador e o dispositivo que está sendo utilizado.
Em 2021, um time de pesquisadores de segurança da Bundeswehr University Munich realizou um experimento para identificar quais informações podem ser inseridas na criação do web fingerprinting. Foram encontrados cerca de 40 tipos diferentes de dados.
Alguns desses dados são importantes para a própria experiência de uso de um determinado site. Por exemplo, saber o idioma do navegador permite que um site apareça em seu idioma preferido, e as informações sobre seu fuso horário são necessárias para mostrar a hora correta. Em contrapartida, existem dados que são irrelevantes para o contexto do uso e certamente são utilizados com o único propósito de reunir a impressão digital do navegador. Podem-se incluir nesse caso a quantidade de memória do dispositivo ou uma lista de plug-ins instalados em seu navegador, por exemplo.
Todas essas informações podem então ser combinadas em uma impressão digital única, passível de ser usada para rastrear o usuário em diferentes sites e sessões. De acordo com o resultado da pesquisa da Bundeswehr University Munich, entre os top 10.000 sites (classificados pela Alexa), a maioria deles – quase 57% – pede de 7 a 15 parâmetros diferentes da configuração do usuário.
Um auto teste não intrusivo pode ser realizado nessa página dedicada da Electronic Frontier Foundation. A página utiliza a API de serviços comerciais de fingerprinting e lista todos os elementos que foram identificados, com explicações técnicas e detalhadas de cada um deles. Pode ser surpreendente descobrir o tanto que uma página da web, sem instalação alguma, pode absorver de dados de seu dispositivo.
Nada impede que a técnica do fingerprinting não seja combinada com outros métodos, como cookies ou FLoC. Além disso, sempre existe o risco do compartilhamento de dados com terceiros, como empresas de publicidade e agências de marketing, para facilitar a criação de perfis detalhados do usuário, com interesses, comportamentos e preferências específicas.
Os Riscos do Web Fingerprinting
- Invasão de Privacidade: O rastreamento por web fingerprinting compromete gravemente a privacidade do usuário, permitindo que terceiros coletem informações pessoais sem o conhecimento ou consentimento do indivíduo. A capacidade de criar perfis detalhados do usuário pode levar à exposição de informações sensíveis e íntimas, como hábitos de consumo, orientação política, crenças religiosas e até mesmo problemas de saúde.
- Perda de Anonimato: A impressão digital do navegador pode ser usada para correlacionar atividades em diferentes sites, mesmo que o usuário tente permanecer anônimo. Dessa forma, a noção de navegar de forma anônima na web é ameaçada.
- Práticas de Segmentação e Anúncios Direcionados: Empresas de publicidade e anunciantes utilizam o web fingerprinting para segmentar usuários com anúncios altamente personalizados. Isso pode levar a uma sensação de invasão de privacidade, já que os usuários podem se deparar constantemente com anúncios que refletem suas atividades e interesses mais recentes.
- Ameaças à Segurança: A impressão digital do navegador também pode ser explorada por cibercriminosos para fins maliciosos. Eles podem usar essas informações para criar ataques de phishing mais direcionados ou realizar atividades fraudulentas em nome do usuário, comprometendo sua segurança digital.
- Violação de Direitos Humanos e Liberdade de Expressão: Em alguns países, o web fingerprinting tem sido usado para rastrear dissidentes políticos e ativistas, colocando em risco sua liberdade e segurança.
Evitando os Riscos do Web Fingerprinting
Embora determinados dados sejam impossíveis de se camuflar durante a navegação ou mesmo úteis para a experiência do usuário, é viável impactar as ferramentas de reconhecimento e dificultar o processo com algumas medidas. O usuário consciente pode optar por usar:
- Navegadores com Proteção de Privacidade: Determinadores navegadores oferecem recursos de proteção de privacidade, como bloqueadores de rastreamento e proteção contra impressão digital, como o Firefox e o Safari.
- Extensões de Bloqueio de Rastreamento: Instale extensões de navegador que bloqueiem o rastreamento e reduzam a eficácia do web fingerprinting, como o Privacy Badger.
- VPN (Rede Virtual Privada): O uso de uma VPN pode ocultar seu endereço IP e dificultar o rastreamento baseado nessa informação.
Conclusão
O web fingerprinting é uma ameaça real à privacidade online, permitindo que terceiros coletem informações pessoais sem o conhecimento ou consentimento do usuário. Essa tecnologia invasiva representa riscos significativos para a privacidade, segurança e liberdade dos indivíduos na web. É essencial que os usuários estejam cientes dos riscos associados ao web fingerprinting e tomem medidas para proteger sua privacidade.
Entretanto, não há até o momento solução tecnológica 100% eficaz contra a prática. Portanto, é fundamental que governos e empresas também desempenhem um papel na proteção da privacidade do usuário, regulamentando o uso do web fingerprinting e implementando práticas mais éticas de coleta e uso de dados. Somente com esforços conjuntos, será possível garantir uma web mais segura e respeitosa da privacidade de todos.