Eu estou pensando em fazer este texto há anos. Vai no “rascunho” mesmo porque não tenho tempo agora para “polir” isso.
Minha preocupação (e irritação) com isso começou em setembro de 2009, quando recebi uma mensagem do Facebook dizendo que um cara que eu havia conhecido através do meu trabalho com DivX players e que acabou se tornando um amigo me convidava para ser amigo dele na rede social.
Na época, eu nem tinha cadastro no Facebook e nem me interessave em ter. Não sou, nem nunca fui, fã de redes sociais. Eu tinha um perfil no Orkut, que era largamente mais popular no Brasil que o Facebook em 2009, mas só para poder achar (e não perder contato com) velhos colegas de escola, trabalho, etc.
Eu me perguntei por que meu amigo estaria me convidando para o Facebook, mesmo sabendo que eu sou nerd e (por definição) não gosto dessas coisas. A mensagem dizia o seguinte:
Olá xxxxxxxx@xxxxxxx.com,
Criei um perfil no Facebook com minhas fotos, vídeos e eventos e quero adicionar-lhe aos amigos para que você possa ver meu perfil. Primeiro, você precisa cadastrar-se no Facebook! Uma vez cadastrado, você também poderá criar o seu próprio perfil.
Obrigado,
xxxxxxxx
A mensagem foi feita para parecer pessoal, mas ainda soava impessoal para mim. Eu não acreditei que ele tivesse escrito mesmo o texto, apesar de estar “assinado” por ele.
Deixei de lado para pensar no assunto depois.
Mas o Facebook não quis me deixar esquecer. Me lembrou do “convite” novamente em outubro e, quando ele insistiu em novembro, desisti. Fiz o cadastro no Facebook para não decepcionar meu “amigo”.
E foi durante o cadastro que a ficha finalmente caiu quando, no final do processo, o Facebook pediu as minhas senhas do gmail e hotmail para poder convidar meus “amigos”.
Que enorme decepção. O Facebook era um spammer e meu amigo havia dado os meus dados a ele.
Está achando um exagero? Veja bem: até aquele momento eu pensava que o convite tinha sido direto e pessoal. Que meu amigo tinha especificamente me convidado para o Facebook. Descobri que ele havia convidado tudo quanto é gato, cachorro e papagaio no seu catálogo de endereços e que eu não era mais especial nesse sentido do que o SAC do Submarino. O Facebook não tem como saber quem é seu amigo no seu catálogo de endereços e nem quer saber. Ele só quer a valiosa combinação de endereços de e-mail válidos e nomes que pode obter lá. Afinal, de onde vem o lucro do Facebook? A capacidade de “atrair” milhões de pessoas e com isso “atrair” investidores e anunciantes baseado no grande número de usuários é um bom ponto de partida. Não importa para a empresa como foi feita essa “atração”.
Mas a irritação não acabou ai. Mesmo depois de cadastrado no Facebook, continuei recebendo os irritantes “lembretes” da empresa, para a mesma pessoa. O que acontece é que ao me cadastrar eu usei um e-mail especifico e o meu “convite” era para outro e-mail. O único jeito de parar de receber esse convites, sem bloquear possíveis convites legítimos, é dizer ao Facebook que aquele endereço de e-mail também é meu!
Um “prato cheio” para um spammer e “data minner”.
Desde então, eu ignoro todos os convites para redes sociais que recebo, se não tiver sido avisado antes de que ia ser convidado. E olha que não são poucos.
Meus “amigos” parecem felizes em dar meu e-mail para tudo o que é rede social ou serviço obscuro que aparece. Eu tenho uma pasta específica no gmail que rotulei “Spam Social” cheia desses convites e, pior, dos lembretes. Badoo (mando um cascudo todo especial para os “amigos” que formeceram meu e-mail para este), LinkedIn, Dropbox, Quepasa, UNYK, Orkut, Clickon, Windows Live, Myspace, Sonico…
E tem também os serviços de compra coletiva como o Peixe Urbano. Todo mês eu recebo pelo menos sessenta e-mails do Peixe Urbano, devidamente classificados pelo Gmail automaticamente como SPAM, sem jamais ter me cadastrado na empresa. E por um endereço que eu só dou a amigos. Tudo indica que um ou mais “amigos” me “presentearam” com esses sessenta SPAMs mensais ao dividir seus catálogos de endereços com o Peixe Urbano. E sabe-se lá de quantos outros serviços eu sou vítima de SPAM pela mesma razão.
Outro dia, um cliente mencionou o convite que supostamente eu havia mandado a ele para entrar no Facebook. Espantado, eu disse a ele que deveria haver algum engano, porque não é do meu feitio misturar trabalho com redes sociais e eu não faria isso sem permissão, por considerar o convite algo “intrusivo”*. Ele então procurou nos seus e-mails pelo convite e descobrimos que se tratava de um outro Jefferson, que ele nem conhecia. Aí eu expliquei a ele como essa coisa funcionava e que aquela pessoa que o estava “convidando” possivelmente nem sabia quem ele era também, e o convite havia sido enviado simplesmente porque ele algum momento havia entrado em contato com a empresa do meu cliente e o endereço de e-mail (comercial) do meu cliente estava em seu catálogo de endereços.
Eu fico me perguntando quantas pessoas não acabaram criando perfis no Facebook por causa da pressão “social” de convites de pessoas que nem sabiam que as estavam convidando. Não é à toa que Mark Zuckerberg está bilionário.
*A maioria das pessoas não parece entender o quanto um convite para uma rede social como o Facebook é intrusivo. Não se trata de apenas “declarar” que conhece a pessoa. Aceitar alguém como “amigo” ou “conhecido” em uma rede social dá a esse “conhecido” uma visão dos seus interesses e relacionamentos que pode ser extremamente incômoda.
Jefferson, 
23 de abril de 2012, 
Depois de ler praticamente todos os comentários no blog do programador, fiquei ainda mais preocupado. Primeiro, um dos comentários diz que no iOS todas as apps tem acesso aos contatos e à internet
Segundo, vários programadores respondem defendendo a Path e sugerindo que não vêem nenhum mal no ocorrido.
O CEO da Path afirma que isso era feito para que fosse possível avisar ao usuário, por meio de comparação de e-mails, quando os amigos do usuário passassem a usar a app também. Mais ou menos como acontece no Facebook. Mas outros comentários apontam diversos problemas nisso:
1)Nem todo mundo que está no meu catálogo de endereços é meu “amigo”. Pelo contrário: existem contatos que eu definitivamente quero evitar, passando pelos contatos estritamente comerciais
2)A Path poderia ter obtido o mesmo resultado fazendo um hash local de cada um dos e-mails do catálogo e enviando para seus servidores apenas o hash. Isso permitiria a comparação mesmo obfuscando os endereços. Porém não resolve “1”.
3)Para quê mandar o catálogo de endereços completo (nome, telefones, aniversário, notas) se você só precisa dos endereços de e-mail? Nem mesmo o nome da pessoa é necessário. Na verdade, do ponto de vista técnico, é contraproducente, já que uma mesma pessoa, com um mesmo e-mail, pode aparecer com nomes grafados de maneiras inteiramente diferentes em cada catálogo.
Inspirado pela descoberta, outro programador descobriu “falha” semelhante em uma app chamada Hipster.
E em 2008 outra app fez o mesmo e foi apagada da app store. Segundo palavras do próprio desenvolvedor, quando eles viram que o SDK da Apple permitia que eles fizessem isso ele pensou: “por que não? Vai ser ótimo para os usuários!”
Eles deveriam tomar um processo bem caro na caixa dos peitos de todos os 25 mil usuários do APP para ver como é que é bom, e para nunca mais se meter a besta.
A julgar pelos comentários no blog do programador, incluindo os de dois supostos advogados, nem é necessário. O que a Path fez já viola leis de privacidade (incluindo leis específicas sobre dados de crianças), da Comunidade Européia e dos Estados Unidos. E como saiu um artigo sobre isso no The New York Times, espera-se que a Path já esteja encrencada.
E não são apenas 25 mil. Não vi estimativa de downloads no iTunes, mas o número de usuários reais costuma ser bem maior que o de avaliações.
Até o Dilbert esta comentando sobre os apps “xeretas” http://www.dilbert.com/2012-05-03/