DuckDuckGo tenta explicar transferência de dados para Microsoft

O navegador focado em privacidade DuckDuckGo promete proteger os usuários que usam o software em dispositivos Android, iOS e macOS de rastreamento online. Entretanto, de acordo com um pesquisador de segurança, ele permite que certos dados fluam de sites de terceiros para serviços de propriedade da Microsoft.

A auditoria de segurança aos navegadores móveis do DuckDuckGo (DuckDuckGo Privacy Browser) foram conduzidas por Zack Edwards que descobriu, ao contrário das próprias expectativas, que eles não bloqueiam o domínio Workplace da Meta, por exemplo, de enviar informações para os domínios Bing e LinkedIn, da Microsoft.

You can capture data within the DuckDuckGo so-called private browser on a website like Facebook's https://t.co/u8W44qvsqF and you'll see that DDG does NOT stop data flows to Microsoft's Linkedin domains or their Bing advertising domains.

iOS + Android proof:
👀🫥😮‍💨🤡⛈️⚖️💸💸💸 pic.twitter.com/u3Q30KIs7e

— Zach Edwards (@thezedwards) May 23, 2022

Segundo a descoberta de Edwards, enquanto o DuckDuckGo Privacy Browser bloqueia os rastreadores do Facebook e Google, permitia que rastreadores Microsoft continuassem a funcionar, especificamente na página do Workplace, entregando informações sobre o usuário aos domínios bing.com e ao linkedin.com para fins de publicidade personalizada.

“Testei o DuckDuckGo chamado de navegador privado tanto para iOS quanto para Android, mas nenhuma das versões bloqueou transferências de dados para os anúncios do LinkedIn + Bing da Microsoft enquanto visualizava a página inicial do Facebook[.]com”, explicou Edwards em uma thread no Twitter.

De acordo com o The Register, um porta-voz da empresa confirmou que o mesmo acontece com a versão do navegador do DuckDuckGo para macOS (em beta).

Imagem: DuckDuckGo/Reprodução

DuckDuckGo tenta explicar transferência de dados no navegador: ‘acordo de sindicalização de busca da Microsoft’

Em resposta aos tweets de Edwards, o CEO e fundador do DuckDuckGo Gabriel Weinberg confirmou que o navegador da empresa permite intencionalmente rastreadores de sites de terceiro da Microsoft devido ao acordo de sindicalização de busca com a Redmond. Weinberg tem defendido a transparência do DDG em torno dos acordos com a empresa da Big Tech e aproveitou para esclarecer que esta restrição afeta apenas o navegador e não o mecanismo de busca do DuckDuckGo.

De acordo com uma explicação no site da empresa, quando o usuário clica em anúncio fornecido pela Microsoft, ele será redirecionado à página de destino do anunciante através da plataforma da Microsoft Advertising. Nesse processo, a Microsoft Advertising usará o endereço IP completo e a cadeia de caracteres do agente de usuário para que possa processar corretamente o clique do anúncio e cobrar o anunciante.

Ao comparar com outros mecanismos de busca, o DDG diz que quando o usuário clica em um anúncio fornecido pela Microsoft que aparece no DuckDuckGo, a Microsoft Advertising não associa seu comportamento de um clique com um perfil de usuário. Ele também não armazena ou compartilha essas informações a não ser para fins contábeis.

Com relação aos cookies de terceiros da Microsoft — usados para rastreamento de anúncios em sites de terceiros —, o DuckDuckGo garante que eles são bloqueados nos navegadores da empresa, entretanto, há scripts usados para rastreamento que não são bloqueados devido a compromissos contratuais com a Microsoft.

https://twitter.com/yegg/status/1528838579455250434?s=20&t=tsbxzgC3ywmOs3oo2MV95g

“Para o bloqueio de rastreadores sem pesquisa (por exemplo, em nosso navegador), nós bloqueamos a maioria dos rastreadores de terceiros”, disse Weinberg. “Infelizmente nosso acordo de sindicalização de busca da Microsoft nos impede de fazer mais com as propriedades da Microsoft”. No entanto, temos pressionado continuamente e esperamos fazer mais em breve”.

“O que estamos falando aqui é de uma proteção de cima abaixo que a maioria dos navegadores nem sequer tenta fazer — ou seja, bloquear scripts de rastreamento de terceiros antes que eles carreguem em sites de terceiros”, diz Weinberg em uma postagem no Reddit.

Ele adiciona que há esforço do DuckDuckGo para evitar que isso aconteça e o compara com a prática de navegadores concorrentes. “Os usuários ainda estão recebendo significativamente mais proteção de privacidade com o DuckDuckGo do que usariam no Safari, Firefox e outros navegadores”, comenta.

O que Weinberg diz é que o DuckDuckGo oferece proteção à privacidade dos usuários melhor ao comparar à média dos navegadores presentes no mercado.

Ainda na mesma postagem no Reddit, Weinberg tentou explicar as restrições envolvidas sem violar o compromisso contratual com a Microsoft, o qual possui termos que obrigam o DuckDuckGo mantê-los sob sigilo.

O problema em questão é que, embora a maioria de nossas proteções, como o bloqueio de cookies de terceiros, se aplique aos scripts da Microsoft em sites de terceiros (mais uma vez, isto está fora do DuckDuckGo,com, ou seja, não relacionado à busca), estamos atualmente restritos contratualmente pela Microsoft a impedi-los completamente de carregar (a proteção acima e depois explicada no último parágrafo) em sites de terceiros. No entanto, nós ainda os restringimos (por exemplo, não são permitidos cookies de terceiros). O exemplo original foi Workplace.com carregando um script do LinkedIn.com. No entanto, temos trabalhado e estamos trabalhando com a Microsoft enquanto falamos para reduzir ou remover esta restrição limitada.

De qualquer forma, espero que isto forneça algum contexto útil. Dando um passo atrás, eu sei que nosso produto não é perfeito e nunca será. Nada pode proporcionar 100% de proteção. E enfrentamos muitas restrições: restrições de plataforma (não podemos oferecer todas as proteções em cada plataforma para APIs limitadas ou outras restrições), restrições contratuais limitadas (como neste caso), restrições de quebra (bloqueando algumas coisas que quebram totalmente as experiências na web), e, claro, a evolução da corrida armamentista que trabalhamos constantemente para manter à frente. É por isso que sempre tivemos extremo cuidado para nunca prometer o anonimato ao navegar fora de nosso mecanismo de busca, porque, francamente, isso não é possível. Também estamos trabalhando em atualizações das descrições de nossas lojas de aplicativos para deixar isto mais claro. Holisticamente, embora eu acredite que o que oferecemos é a melhor coisa que existe para os usuários comuns que querem uma simples proteção de privacidade sem quebrar as coisas, e essa é a nossa visão de produto.

Com informações de BleepingComputer, The Register