No ano passado, uma investigação da mídia revelou que um corretor de dados da Flórida, Datastream Group, estava vendendo dados de localização altamente sensíveis que rastreavam o pessoal militar e de inteligência dos Estados Unidos no exterior. Na época, a origem desses dados era desconhecida.
Agora, uma carta enviada ao escritório do senador dos EUA Ron Wyden, que foi obtida por um coletivo internacional de meios de comunicação — incluindo WIRED e 404 Media — revela que a fonte final desses dados foi a Eskimi, uma empresa de tecnologia publicitária pouco conhecida da Lituânia.
O papel da Eskimi destaca a natureza opaca e interconectada da indústria de dados de localização: uma empresa lituana forneceu dados sobre pessoal militar dos EUA na Alemanha a um corretor de dados na Flórida, que poderia então teoricamente vender esses dados para praticamente qualquer um.
“Há um risco de ameaça interna global, de algumas empresas de publicidade desconhecidas, e essas empresas estão essencialmente quebrando todos esses sistemas ao abusar de seu acesso e vender esses dados extremamente sensíveis para corretores que os vendem ainda mais para interesses governamentais e privados”, diz Zach Edwards, analista sênior de ameaças da empresa de cibersegurança Silent Push, referindo-se ao ecossistema de tecnologia publicitária de forma ampla.
Em dezembro, a investigação conjunta da WIRED, Bayerischer Rundfunk (BR) e Netzpolitik.org analisou uma amostra gratuita de dados de localização fornecida pela Datastream. A investigação revelou que a Datastream estava oferecendo acesso a dados de localização precisos de dispositivos que provavelmente pertenciam a pessoal militar e de inteligência americanos no exterior — incluindo em bases aéreas alemãs que se acredita armazenarem armas nucleares dos EUA. A Datastream é um corretor de dados na história de dados de localização, obtendo dados de outros provedores e depois vendendo-os a clientes. Seu site anteriormente dizia que oferecia “dados de publicidade na internet acompanhados por e-mails codificados, cookies e dados de localização móvel.”
Esse conjunto de dados continha 3,6 bilhões de coordenadas de localização, algumas registradas em intervalos de milissegundos, de até 11 milhões de IDs de publicidade móvel na Alemanha durante um período de um mês. Os dados foram provavelmente coletados por meio de SDKs (kits de desenvolvimento de software) embutidos em aplicativos móveis por desenvolvedores que integram intencionalmente ferramentas de rastreamento em troca de acordos de compartilhamento de receita com corretores de dados.
Após essa reportagem, o escritório de Wyden exigiu respostas da Datastream Group sobre seu papel na comercialização dos dados de localização de pessoal militar dos EUA. Em resposta, a Datastream identificou a Eskimi como sua fonte, afirmando que obteve os dados “legitimamente de um provedor de terceiros respeitável, Eskimi.com.” Vytautas Paukstys, CEO da Eskimi, diz que “a Eskimi não tem ou nunca teve qualquer relacionamento comercial com a Datasys/Datastream Group,” referindo-se a outro nome que a Datastream usou, e que a Eskimi “não é um corretor de dados.”
Em um e-mail respondendo a perguntas detalhadas do coletivo de reportagem, M. Seth Lubin, advogado representando o Datastream Group, descreveu os dados como legalmente obtidos de um terceiro. Embora Lubin tenha reconhecido a Wyden que os dados foram destinados ao uso em publicidade digital, ele enfatizou ao coletivo de reportagem que nunca foram destinados à revenda. Lubin recusou-se a divulgar a fonte dos dados, citando um acordo de não divulgação, e descartou a análise do coletivo de reportagem como imprudente e enganosa.
O Departamento de Defesa (DOD) se recusou a responder perguntas específicas relacionadas à nossa investigação. No entanto, em dezembro, o porta-voz do DOD, Javan Rasnake, disse que o Pentágono está ciente de que serviços de geolocalização podem colocar o pessoal em risco e pediu aos membros do serviço que se lembrem de seu treinamento e sigam estritamente os protocolos de segurança operacional.
Em um e-mail, Keith Chu, conselheiro chefe de comunicações e diretor de política adjunto de Wyden, explicou como seu escritório tentou se envolver com a Eskimi e a Autoridade de Proteção de Dados da Lituânia (DPA) durante meses. O escritório contatou a Eskimi em 21 de novembro e não recebeu resposta, diz Chu. O pessoal então contatou a DPA várias vezes, “levantando preocupações sobre o impacto na segurança nacional de uma empresa lituana vendendo dados de localização de pessoal militar dos EUA servindo no exterior.” Após não receber resposta, a equipe de Wyden contatou o adido de defesa na embaixada da Lituânia em Washington, DC.
Foi apenas depois disso, e em 13 de janeiro, que a DPA respondeu, pedindo mais informações. “Uma vez que informações adicionais sejam recebidas, avaliaremos a situação dentro do escopo de nossa competência e determinaremos o curso de ação apropriado,” disse a DPA, de acordo com Chu.
A DPA lituana disse a repórteres em um e-mail que “atualmente não está investigando esta empresa” e que “está reunindo informações e avaliando a situação para estar preparada para tomar ações bem-informadas, se necessário.” Se a DPA lituana decidir investigar e descobrir que a Eskimi está em violação das disposições do GDPR, a empresa pode enfrentar consequências significativas — incluindo multas de até €20 milhões.
O escritório de Wyden também contatou o Google em novembro, para alertá-los sobre a Datastream dizendo que a Eskimi, um parceiro publicitário do Google, estava vendendo os dados de localização de pessoal do DOD no exterior, diz Chu.
Jacel Booth, porta-voz do Google, escreveu em um e-mail que “a Eskimi é atualmente parte do programa de Compradores Autorizados do Google e deve cumprir nossas políticas.”
“O Google audita regularmente os participantes do programa de Compradores Autorizados e revisa alegações de má conduta potencial,” acrescenta a porta-voz.
Mesmo que o Google aja contra a Eskimi, pode haver muitas outras empresas de publicidade prontas para vender dados de localização coletados.
“As empresas de publicidade são meramente empresas de vigilância com modelos de negócios melhores,” diz Edwards.