A Meta consegue rastrear todos os passos dos usuários que clicam em sites dentro do Instagram e Facebook. O ex-engenheiro do Google, Félix Krause, identificou a brecha na privacidade. Entenda:
A princípio, em uma análise no código dos apps, Krause verificou que Instagram e Facebook abrem um “navegador in-app” quando os usuários clicam em links direcionados externos às redes. Ali, a Meta tem acesso aos dados, já que as pessoas não são enviadas ao navegador de sua preferência, mas continuam dentro do aplicativo.
O Instagram injeta um código de arquivo JavaScript para construir uma ponte de comunicação entre o site acessado e o aplicativo. Isso permite que a rede monitore todas as interações do usuário, como links tocados, seleções de texto, capturas de tela e dados em formulários.
E vai mais longe: senhas, endereços e números de cartão de crédito também são rastreados.
Krause descobriu o código enquanto desenvolvia uma ferramenta para listar todos os comandos extras adicionados a um site pelo navegador. Em navegadores normais, a ferramenta quase não detecta alterações. Mas no Facebook e Instagram é possível encontrar até 18 linhas de código adicionadas pelo aplicativo.
Esses códigos fornecem um kit de rastreamento multiplataforma específico. Se não estiver instalado, incluem o MetaPixel – ferramenta de rastreamento que permite à empresa “seguir” um usuário na internet e oferecer publicidade personalizada com base na navegação.
Isso significa que o Instagram/Facebook leem tudo o que fazemos online? Não. As redes só podem acompanhar as atividades online quando abrimos um link ou anúncio em seus aplicativos. Nenhum código do tipo foi encontrado no WhatsApp, segundo Krause.
O que diz a Meta
Em comunicado, a Meta afirmou que a injeção de código de rastreamento obedece às preferências dos usuários sobre permitir, ou não, que os apps o acompanhem no navegador in-app.
A big tech também disse que só usa o rastreio para “agregar dados” antes de aplicá-lo para fins de publicidade. Já os usuários que optam por não participar do rastreamento passam por medição direcionada, pontuou a empresa.
“Desenvolvemos intencionalmente este código para honrar com as escolhas das pessoas [na aba “Peça para rastrear”] em nossas plataformas”, diz a Meta em nota enviada ao jornal britânico The Guardian.
“O código nos permite agregar dados do usuário antes de usá-lo para publicidade ou fins de medição. Não adicionamos pixels. O código é injetado para que possamos agregar eventos de conversão de pixels”.
O pixel é o código oferecido pela plataforma de anúncios da Meta que consegue medir a eficácia dos anúncios veiculados no Facebook e Instagram. Na prática, é um código invisível que rastreia o tráfego da Internet, conversões, comportamentos do usuário e outros dados relevantes para quem tem negócio online.
Segundo a Meta, para compras feitas no navegador in-app, tanto Instagram quanto Facebook pedem o consentimento do usuário para salvar informações a fim de preenchimento automático.
Como se proteger?
A principal dica de Krause é fugir da visualização web dentro do aplicativo. Ao clicar em links externos ao Instagram e Facebook, o ideal é abrir o site em outros navegadores, como Chrome, Safari ou Mozilla Firefox.
“Se o botão não estiver disponível, tente copiar e colar o URL para abrir o link no navegador de sua escolha”, alertou.