Na internet além da invasão de privacidade, quando se obtém dados de um usuário sem sua permissão, deve se ter muito cuidado com a evasão de privacidade, nestes casos o usuário fornece espontaneamente dados sobre seus hábitos, gostos e preferências, facilitando assim o trabalho em golpes de engenharia social e um novo elemento foi adicionado nas ferramentas de evasão de privacidade, o foursquare.

O serviço aproveita principalmente da disponibilidade de GPS nos telefones celulares para que o usuário possa indicar o local onde está para sua rede de contatos, ao chegar em um local o usuário faz o chek-in, incentivando-o assim a dizer onde está.

O problema é a utilização indiscriminada do serviço de forma a sempre se indicar o local em que se está o que permite conhecimento em tempo real da localização de uma determinada pessoa.

Robin indica a localização da Bat caverna na internet

Com o surgimento do twitter muitas pessoas passaram a divulgar sua localização, indicando que estavam em uma determinada lanchonete, shopping ou parque, mas com o foursquare há a indicação exata da localização o que certamente é ainda pior, alie a isto o fato de que os locais frequentados por um determinada usuário ficam armazenados e disponíveis para consultas futuras.

O foursquare exige muito cuidado em sua utilização para que não se comprometa a segurança como o fez o Robin ainda, deve se considerar que normalmente este serviço é conectado ao twitter onde quase ninguém restringe o acesso ao seu perfil fazendo com que a localização seja de conhecimento de qualquer pessoa.

Tomei conhecimento agora a pouco, através do Direito e Trabalho, sobre o inquerito policial aberto para investigar possível cybercrime de violação de sigilo cometido por este ao divulgar dados de cliente do speedy explorando uma falha de segurança no banco de dados da empresa.

Utilizando SQL Injection Vinucius K-Max agora é investigado por possivelmente ter cometido cybercrime

Em julho o Vinicuis K-Max descobriu que o site da telefonica era vulnerável ao SQL injection e criou um site que divulgava alguns dos dados encontrados no banco sem fornecer os últimos dígitos de telefones ou CPF, por exemplo, tentando proteger a privacidade dos consumidores, o que para a polícia paulista não teria impossibilitado a caracterização do cybercrime que apuram.

Em entrevista publicada na Info online, K-Max afirma que a ultima atualização no site da telefonica deu-se a cerca de três anos pois, pois a informação do “header http Last-Modified” datava deste ano.

O art. que teoricamente ele teria infringido é o 153, que diz

Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem.

Caso o inquérito  conclua pela violação do artigo acima e o juiz aceite a acusação, creio que a principal defesa a ser explorada é a “justa causa” na divulgção dos dados, por três anos a telefonica manteve seu banco de dados com esta falha e em 24 horas, após o início da possível execução deste cybercrime, a telefonica a corrigu, impedindo a divulgação dos dados sigilosos de seus clientes do speedy

Outro ponto a ser explorado é o fato de que o K-max não era o portador dos dados, por isso não teria violado o artigo em questão, enfim, estas análises superficiais das possíveis defesas caso o juiz aceite a denúncia.

Creio no entanto que poderia sim ter havido violações ao artigo 5º da constituição federal, em seu inciso X e talvez ao XII,

X -  são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

(…)

XII -  é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal

de toda a forma, não creio em violação ao inciso XII pois não houve interceptação dos dados, mas mera consulta, por fim também pode ter havido uma possível violação aos direitos autorais devido a manipulação da base de dados da telefonica, que é protegida nos termos da LDA,  art. 7º, XII

Apesar de tudo preocupa-me mais o fato de que este caso será artilharia pesada nas mãos do senador Eduardo Azeredo para aprovar seu AI-5 digital.

Foto utilizada de acordo com os termos da licença Creative Commons By-NC originalmente publicada no Flickr de prashant_zi.

O Facebook é em todo o mundo, menos no Brasil, o que o Orkut é para nós brasileiros, a principal rede relacionamentos e como em todas as outras redes o usuário, ao registrar-se no site tem de “aceitar” os termos do serviço, em nada distantes do que denominamos contrato de adesão, e como em todos os outros casos, há a cláusula de que os temos de serviço poderão ser alterados a qualquer momento sem prévio aviso.

No último dia 14 de Fevereiro, fazendo uso da cláusula para alterar o contrato sem prévio aviso, o site alterou as normas quanto a disponibilidade dos dados pessoais no serviço. O usuário que poderia a qualquer tempo remover o que bem entendesse do site, passou a ficar preso a vontade dos administradores do site que poderiam continuar a usar a informação, fotos, recados na “Wall” (como os scraps do orkut) livremente.

Não demorou muito e os usuários do serviço rebelaram-se contra as mudanças, e com razão, fazendo uma imensa pressão pela Internet através da blogosfera e da criação de grupos no próprio Facebook, conseguiram com que a administração do site voltasse atrás em sua decisão, revendo sua política de propriedade dos dados e privacidade.

A interação em redes sociais na internet vulnerabiliza a privacidade se não fore bem utilizadas

Apesar de ter realizado a mudança na terça feira o tema repercutiu durante toda a semana, fazendo com que houvesse uma reflexão sobre a disponibilização de dados em redes sociais, e como elas afetam nossa privacidade. Neste tema o Manoel Netto do Tecnocracia comentou o tema quando do lançamento do Latitude, resumidamente, toda a atividade social traz alguns riscos, pode-se mantê-los moderados, mas tudo depende das escolhas dos usuários.

Um pouco mais aprofundado na questão é o do Rafael Capitão que aborda a segurança nas redes socais e aspectos jurídicos desta , indicando ao final um link com dicas de segurança na rede, básica, mas fundamentais e que garantem mais facilmente a privacidade e o controle de seus dados na internet.

De toda a forma esta questão sobre quem é o proprietário dos dados e conteúdos disponibilizados na internet não é exatamente nova, no meio do ano passado houve um incidente do mesmo tipo com a Abril Blogs e mesmo com o Chrome do Google.

Como aborda Chris Matyszczyk os “TOS são escritos por advogados e aceitos por pessoas q estão com pressa demais par utilizarem o serviço e não os leem.”

A legislação americana pode até mesmo permitir que este tipo de dados sejam cedidos, mas no Brasil, nome e imagem são aspectos personalíssimos não podendo ser cedidos a qualquer título e os conteúdos produzidos pelos usuários estão protegidos pelo direito de autor que, pela nossa lei Lei de direitos autorais exige que os contratos de cessão e licenciamento sejam específicos para cada uso o que tornaria inválida a cessão por um contrato de adesão genérico, como no caso do Facebook.

Foto utilizada mediante a licença CC-NC-SA concedida por Manoel Netto originalmente publicada no Flickr.

Nota fiscal paulista instituiu o Big Brother São Paulo

A Nota Fiscal Paulista foi instituída com o intuito de aumentar a arrecadação, transferindo ao cidadão parcela do dever de fiscalização ao incentivar a solicitação de notas fiscais, sendo então identificado pelo número de CPF e quando processado o recolhimento do ICMS daquela nota fiscal, até 30% daquele valor seria devolvido ao consumidor.

Desde o início utilizei a NFP, acreditava eu tratar-se de uma ótima iniciativa do governo paulista para diminuir a sonegação e devolver, de fato, parte dos impostos pagos.

Muitas pessoas que conheço não pedem a NFP por medo de que a Receita federal obtenha os dados dos gastos e cruze com os dados da Declaração de impostos de renda para fechar ainda mais a malha fina.

Nunca me preocupei com isto, sou daqueles que pensam que não tem nada a esconder, ou mais especificamente, não tenho como esconder, tudo o que recebo é informado à receita diretamente pela empresa através da Declaração de imposto retido na fonte.

A grande sacada da nota fiscal paulista, além de gerar créditos para o contribuinte, é possibilitar o acompanhamento no site do programa, assim se a compra realizada não aparecer no site é só denunciar que será apurado o que ocorreu, se um erro do sistema ou se um “esquecimento” do vendedor.

Não costumo acompanhar os rigidamente os créditos que recebo, porém esta noite, enquanto guardava as notas fiscais mais recentes resolvi verificar o quanto acumulara.

Um das compras que realizei no início do último ano

Ao fazer a consulta notei que, o que creio ser o número da nota, é um link, ao clicá-lo é exibida a nota fiscal, da maneira como me foi entregue, inclusive com a quantidade, descrição e preço dos produtos.

Não me preocupo com o fato de o google ler meus e-mails, se não os armazenasse em seu sistema, teria que fazer em um servidor de terceiros pois não tenho como manter um servidor dedicado na sala de casa. Não me importo com o registro de meus números de IP, gerando os logs de acesso, quando interajo com um site ou como dito anteriormente, a possibilidade de a receita cruzar os dados com a secretaria da fazenda, o que realmente me preocupou foi o monitoramento, não dos valores gastos, mas com o que foram gastos.

Pesquisando a legislação paulista descobri que esta exigência não advém da nota fiscal paulista mas da escrituração fiscal, pela conjugação das normas abaixo:

A disponibilização desta informação se dá pela conjugação de diversas normas:

• Art. 67 e §1ºda lei 6374/89

Art. 67 – As pessoas sujeitas à inscrição no cadastro de contribuintes, conforme as operações ou prestações que realizem, ainda que não tributadas ou isentas do imposto, devem, relativamente a cada um de seus estabelecimentos, emitir documentos fiscais, manter escrituração fiscal destinada ao registro das operações ou prestações efetuadas e atender às demais exigências decorrentes de qualquer outro sistema adotado pela Administração Tributária.

§ 1º – Os modelos de documentos e livros fiscais, a forma e os prazos de sua emissão e escrituração, bem como disposições sobre sua dispensa ou obrigatoriedade de mantença, serão estabelecidos em regulamento ou em normas complementares.

• Art. 2º e 3º e 14º da portaria CAT – 85 de 4 – 9 – 2007

Art. 2º – Os documentos fiscais a seguir indicados deverão, após sua emissão por contribuinte paulista, ser registrados eletronicamente na Secretaria da Fazenda para que seja gerado seu respectivo Registro Eletrônico de Documento Fiscal – REDF:

I – Nota Fiscal, modelo 1 ou 1-A;

II – Nota Fiscal de Venda a Consumidor, modelo 2;

III – Cupom Fiscal, emitido por meio de Equipamento Emissor de Cupom Fiscal – ECF.

Parágrafo único – O disposto no caput não se aplica à Nota Fiscal de Venda a Consumidor “On-line” – NFVC-“On-line”, modelo 2, de que trata o inciso II do artigo 212-O do Regulamento do ICMS.

Art. 3º – Registro Eletrônico de Documento Fiscal – REDF é o conjunto de informações armazenadas eletronicamente na Secretaria da Fazenda que correspondem aos dados do documento fiscal informados pelo contribuinte emitente.

Artigo 14 – As informações disponíveis no Registro Eletrônico de Documento Fiscal – REDF poderão ser consultadas eletronicamente pelo:

I – contribuinte emitente do respectivo documento fiscal;

II – contribuinte destinatário do respectivo documento fiscal;

III – legítimo interessado em informações contidas em determinado Registro Eletrônico de Documento Fiscal – REDF, mediante preenchimento de formulário eletrônico com os dados que identifiquem o respectivo documento fiscal.

• Art. 133 do decreto 45490/2000

Art. 133 – A Nota Fiscal de Venda a Consumidor emitida nos termos do inciso I do art. 132-A deverá conter as seguintes indicações (Lei 6.374/89, art. 67, § 1°, e Convênio de 15-12-70 – SINIEF, art. 51, na redação do Ajuste SINIEF-10/99):I – a denominação “Nota Fiscal de Venda a Consumidor”;

II – o número de ordem, a série e o número da via;

III – a data de emissão;

IV – o nome do titular, o endereço e os números de inscrição, estadual e no CNPJ, do estabelecimento emitente;

V – a discriminação da mercadoria: quantidade, marca, tipo, modelo, espécie, qualidade e demais elementos que permitam sua perfeita identificação;

VI – os valores, unitário e total, das mercadorias, outros valores cobrados a qualquer título e o total da operação;

VII – o nome, o endereço e os números de inscrição, estadual e no CNPJ, do impressor do documento, a data e a quantidade da impressão, o número de ordem do primeiro e do último documento impresso, a série e subsérie e o número da Autorização de Impressão de Documentos Fiscais.

§ 1° – Quando solicitado pelo consumidor, o número de inscrição no Cadastro de Pessoas Físicas – CPF ou no Cadastro Nacional de Pessoas Jurídicas – CNPJ que o identifique deverá constar no corpo da Nota Fiscal de Venda a Consumidor.

Por fim, não há motivo para exigir a descrição de cada item pois a base de cálculo é o valor total da operação (Art. 62, I 6374/89)

Imaginem o caso de alguém que vá aos finais de semana para a cidade de São Paulo Estado sabe a que horas essa pessoa sai da sua cidade e chega em SP, o que e onde comeu, quais livros, revistas, DVD’s e CD’s comprou e o que fez para se entreter, provavelmente sabem com maior exatidão a hora que chegou em casa do que as pessoas que vivem com ele.

Além de todas essas informações resta a dúvida quanto ao que é feito com elas e por que tamanho grau de detalhamento se tudo que eles precisam é o valor total da operação.

Finalmente passei a acreditar que se comprar um Main Kampf, alguém saberá, descenessário citar que 1984 de Orwell também pode estar nesta lista.