Um novo relatório contundente da Ofcom, a entidade reguladora das comunicações do Reino Unido, chegou a uma conclusão severa: os feeds de conteúdo YouTubeTikTok e YouTube«não são suficientemente seguros» para as crianças. Não se trata apenas de mais uma reprimenda regulatória. A Ofcom está a lançar um alerta a todos os que trabalham nas áreas da cibersegurança, da inteligência de ameaças e da segurança online.
Nas suas próprias palavras:
«É de salientar que o TikTok e YouTube se comprometeram a introduzir quaisquer alterações significativas para reduzir a exposição das crianças a conteúdos nocivos, sustentando que os seus feeds já são seguros para as crianças.»
Do lado positivo, a Snap, a Meta e a Roblox concordaram em adotar medidas de segurança adicionais para proteger as crianças contra a aliciamento online e o «perigo dos estranhos».
A BBC informa que um inquérito da Ofcom revelou que 84 % das crianças com idades compreendidas entre os 8 e os 12 anos continuavam a utilizar pelo menos um serviço importante cuja idade mínima exigida era de 13 anos. Já tính amos noticiado anteriormente como era fácil burlar alguns dos métodos de verificação de idade. Investigadores que utilizaram contas de menores de 13 anos também relataram ter encontrado conteúdo sexual e linguagem ofensiva pouco depois de entrarem em jogos específicos do Roblox.
Por falar no Roblox, o jornal The Guardian informa que grupos de defesa dos direitos dos consumidores dos EUA solicitaram formalmente à Comissão Federal do Comércio (FTC) que investigue a Roblox por práticas que consideram «desleais e enganosas». A denúncia centra-se nos seguintes pontos:
- As compras no jogo que levam as crianças a gastar dinheiro
- Funcionalidade de chat que expõe as crianças a estranhos
- Funcionalidades concebidas para maximizar o envolvimento, que, segundo os críticos, podem ser viciantes
Drew Benvie, diretor executivo da Battenhall e fundador da Raise, uma organização sem fins lucrativos dedicada à segurança dos jovens, observou:
«Embora o Roblox esteja a implementar novas medidas de segurança baseadas na idade, os jogadores mais jovens são hábeis a contornar essas proteções.»
Do ponto de vista da cibersegurança
O que tira o sono aos investigadores de cibersegurança é outra faceta deste problema. Muitas das soluções propostas para a verificação da idade exigem que os utilizadores forneçam documentos de identificação oficiais ou dados biométricos obtidos através de selfies. Já abordámos este tema no nosso blogue, «Verificação da idade: proteção infantil ou risco para a privacidade?».
Os sistemas de verificação da idade criam oportunidades de recolha de dados em grande escala que se tornam alvos privilegiados para:
- Violações de dados que expõem informações pessoais identificáveis (PII)
- Identity facilitado por bases de dados centralizadas de identificação
- Roubo de dados biométricos, que não podem ser alterados como as palavras-passe
- Malware e esquemas fraudulentos que visam utilizadores em plataformas menos seguras
Quando as restrições levam os jovens utilizadores a sites mais pequenos ou menos seguros, estes deparam-se com:
- Ausência de medidas básicas de segurança
- Maior exposição a malware
- Aumento dos riscos de phishing e burlas
- Conteúdo prejudicial não moderado
É exatamente isso que observamos na inteligência de ameaças: à medida que os defensores protegem um vetor, os cibercriminosos adaptam-se e mudam de alvo.
Sistemas mais seguros são mais eficazes do que restrições de idade mais rigorosas
A proteção das crianças deve centrar-se na criação de experiências digitais mais seguras em geral. Este é o único caminho viável a seguir, porque:
- Uma moderação mais rigorosa remove efetivamente o conteúdo prejudicial, em vez de se limitar a bloquear o acesso
- Sistemas de recomendação mais seguros evitam a amplificação algorítmica de conteúdos prejudiciais
- Uma maior responsabilização das plataformas significa que as empresas não podem dar prioridade ao envolvimento em detrimento da segurança
- Evitar a recolha invasiva de dados impede a criação de enormes iscos para os atacantes
Como alguém que analisa malware e ameaças diariamente, posso afirmar: a segurança baseada na obscuridade (verificação da idade) não funciona. A segurança baseada num design robusto do sistema (moderação, algoritmos mais seguros, responsabilização) é que funciona.
Os burlões não precisam de invadir o seu computador. Basta que clique uma vez.
Malwarebytes Identity Theft deteta atividades suspeitas antes que se tornem um problema.
