No ano passado, eu, como muitos pais jovens, supero enormes dificuldades, tentando manter a saúde e a felicidade do meu filho pequeno. Quando minha filha saiu da infância e se tornou um bebê muito mais consciente, decidi que era hora de mand á-la para o jardim de infância. Era melhor do que se ela olhasse para as mesmas quatro paredes da sala de estar e, repetidas vezes, pensei em riscos à saúde. Depois de várias pesquisas na Internet e telefonemas, escolhi o jardim de infância mais próximo, no qual havia lugares livres (o que foi bastante difícil). Quando iniciei o processo de inscrição, em um enorme pacote de documentos, vi um folheto que imediatamente me mergulhou em novas preocupações com as quais não queria lidar: “Também usamos o Brightweel, um aplicativo móvel para registrar a participação, compartilhar realizações e mantenha meus pais no curso de interações diárias “.
Opinião com fio
Sobre o site
Alexis Hankok – Diretor de Assuntos Técnicos da Electronic Frontier Foundation.
Não sei o que acontece neste momento na cabeça de outros pais, mas lido com questões de confidencialidade e segurança como meu principal trabalho na Fundação Eletrônica de Fronteira, para que não pudesse deixar de não olhar para o equipamento de proteção que a roda brilhante me forneceu como pai. Estes eram os dados do meu filho, deixados a critério de alguma empresa. Não me entenda errado, o aplicativo me deu um certo conforto, permitind o-me ver como meu filho sorri, faz amigos e fica feliz em andar de bicicleta durante os jogos na rua. Especialmente na primeira semana, quando você não pode controlar todos os aspectos de sua vida. Mas, olhando para minha conta, vi muito poucas configurações que mencionavam a segurança. Havia um código PIN para entrar e sair, mas isso foi tudo.
Por vários meses, estudei o gigantesco volume de dados que foram transferidos e armazenados diariamente neste aplicativo. Mudança de fraldas, fotos de contos de fadas, tempo de sono etc. Quanto mais dados sobre minha filha eu vi, mais minha ansiedade crescia.
Em outubro de 2021, eu não podia mais me sentar. Eu não me chamaria um hacker no entendimento que existe na cabeça da maioria das pessoas. Mas, nesse caso, para o bem da minha filha, ser mãe significa fazer todo o possível para garantir sua segurança. Portanto, comecei uma imersão mult i-meses no mundo das solicitações de educação precoce – e não gostei do que encontrei.
Eu tive sorte com o local de trabalho. Depois de várias cartas frias e o estabelecimento de contatos, meu colega e eu também éramos um novo pai que foi oferecido para usar o Brightwheel) finalmente se encontrou com o verdadeiro funcionário da empresa. A reunião foi produtiva no sentido de que o Brightwheel parecia entender que ela estava se incomodando, mas confirmou o quanto todo o setor estava por trás da proteção de confidencialidade e segurança.
Por exemplo, uma medida de proteção muito simples e bem conhecida é a autenticação de dois fatores. Você sabe como alguns serviços agora exigem inserir um código de uma hora além da senha? Esta é a autenticação de dois fatores, que oferece grandes benefícios do ponto de vista da segurança. Ele se espalha rapidamente e, pelo menos, atualmente, seu uso é quase um padrão da indústria.
Mais popular
A ciência
Uma bomba demográfica de uma ação lenta está prestes a atingir a indústria de carne bovina
Matt Reynolds
Negócios
Dentro do complexo supe r-secreto Mark Zuckerberg no Havaí
Gatrine Skrimjor
Engrenagem
Primeira olhada em Matic, um aspirador de robô processado
Adrienne co
Negócios
Novas declarações de Elon Mask sobre a morte de um macaco estimulam novos requisitos para a investigação da SEC
Dhruv Mehrotra
Agora, o Brightwheel oferece autenticação de dois fatores para todos os administradores de escolas e jardins de infância, assim como os pais, mas é o único que o fez. Isso é um absurdo completo.
Algumas dessas empresas não divulgam quais dados coletam e onde recebem. E descobrimos que, em alguns casos, eles rastreiam e transmitem informações como o Facebook. Isso é muito ruim quando se trata de dados de adultos na rede social pública, mas é terrível quando isso é informações sobre o pr é-escolar.
Descobrir as questões de confidencialidade e a segurança do aplicativo que usa o jardim de infância do seu filho não é o mesmo que encontrar informações sobre como ensinar uma criança a dormir ou qual presidência para alimentação, onde os pais podem encontrar facilmente fontes confiáveis de informação. Não existe essas informações lá. Pais e administradores vendem conveniência, mas não recebem nem as ferramentas mais elementares para escolher um aplicativo seguro.
E aqueles de nós que têm um know-how para encontrar essas vulnerabilidades e eliminá-los enfrentaram o problema de que as empresas não querem ouvir sobre isso. Como hacker ético, planejei relatar sobre o encontrado e aguardar uma resposta por 90 dias (a prática usual do setor de segurança). Mas mesmo neste caso, encontrei obstáculos.
Não tendo encontrado uma maneira de contat á-los em seus sites, descobri que pesquisadores da Alemanha em março de 2022 emitiram um documento no qual indicaram problemas com segurança e confidencialidade de 42 pedidos de educação e gerenciamento precoce dos jardins de infância. Além da descrição das vulnerabilidades, o documento também explicou que os pesquisadores mostraram prudência adequada, relatando esses problemas por razões éticas e praticamente não receberam uma resposta das empresas.
Isso é inaceitável. Se sua empresa trabalha com informações confidenciais e os pesquisadores funcionam, descobrir como tornar seu produto mais seguro para você, não responder a eles é uma prática terrível.
Publiquei meu próprio estudo sobre essas aplicações no site da EFF, onde você pode se familiarizar com detalhes técnicos, mas a principal conclusão é que esses serviços não são o mais seguros possível ou devem ser.
Temos vários requisitos básicos para todas essas empresas:
- Disponibilizar uma autenticação de dois fatores para todos os administradores e funcionários.
- Elimine vulnerabilidades bem conhecidas na segurança de aplicativos móveis.
- Para revelar e listar todos os rastreadores, análises e métodos de seu uso.
- Use imagens protegidas de servidores em nuvem. Além disso, introduza o processo de atualização constante de tecnologias desatualizadas nesses servidores.
- Blok todas as instalações de armazenamento em nuvem acessíveis publicamente, que armazenam vídeos e fotos infantis. Eles não devem estar em domínio público, e apenas um jardim de infância e os pais da criança devem ter acesso a esses dados confidenciais.
Além disso, gostaríamos que esses aplicativos se tornassem um padrão para proteger quaisquer mensagens enviadas entre a escola e os pais. Para isso, por meio da criptografia é necessária e não há necessidade de o servidor ver a renovação sobre a vida da criança.
E, finalmente, essas empresas devem rastrear e responder proativamente a mensagens sobre problemas com seus aplicativos. Não é necessário que o tecnólogo que trabalhe em uma organização envolvida em questões de confidencialidade digital e seu colega, que é advogado sobre os mesmos problemas, trocou cartas frias e estabelecidos contatos para alcançar uma reunião.
A capacidade de receber atualizações diárias sobre como seu filho lida com as funções dele no jardim de infância é um dos pais extremamente tranquilizadores. Então foi para mim. Infelizmente, esse consolo logo foi rastreado pelo perigo que eu descobri.
