A Oi está modificando o tráfego da web para incluir mensagens publicitárias sobre seus serviços quando internautas visitam certas páginas de internet. A coluna Segurança Digital apurou que o conteúdo da página visitada é acrescido de um código que mostra um quadro flutuante com a publicidade da operadora.



A Oi classifica a ação como uma "notificação push na web". Especialistas ouvidos pelo G1 criticaram a conduta por entenderem que o provedor não teria autorização para alterar uma transmissão de terceiros, mesmo que só para acrescentar conteúdo.







Oferta da Oi fica em primeiro plano, por cima da página visitada. A página não pertence à Oi e o banner não fazia parte da publicidade original do site - foi uma inclusão da operadora. Na imagem, destaque para o link que desativa as ofertas. (Foto: Reprodução)



A notificação "push" tradicional – essa que você recebe em seu celular ou até no navegador web – é recebida em um canal destinado a essa finalidade. No caso dos celulares, o serviço de notificação é do próprio sistema operacional e os aplicativos instalados obtêm autorização para o usá-lo. Mas as notificações da Oi são injetadas nos próprios sites visitados por meio da alteração dos dados transmitidos, criando um "canal" que normalmente não existiria . Para o navegador de internet, a "notificação" da Oi é só uma parte da página visitada, como se o próprio site tivesse enviado esse conteúdo.



Apenas entidades ou sistemas que intermediam a conexão com a internet, como os provedores, podem realizar mudanças nos dados transmitidos. A alteração também pode ser feita por hackers através de uma técnica conhecida como "Man in the middle" ("homem no meio").



Procurada, a Oi confirmou a prática. A empresa explicou que as ofertas são exibidas como parte de um projeto piloto aplicado apenas para clientes da banda larga fixa no Rio de Janeiro. A inclusão do quadro é intermitente, ou seja, ela não ocorre em todos os acessos.



Segundo a operadora, a tecnologia não é usada para exibir mensagens de outras empresas, ou seja, todo o conteúdo divulgado nesses quadros de "notificação" é da Oi. Além disso, a Oi garantiu que a opção de desativar os anúncios vale para a linha contratada. Em outras palavras, se os anúncios forem desativados pelo computador, um notebook ou celular conectados na mesma linha também deixarão de ver os recados.



"Este tipo de campanha é totalmente segura e permite apenas a exibição de banners publicitários, ou seja, em nenhum momento é possível capturar dados dos clientes e/ou informações sobre sua navegação. A visualização dos banners se dá quando os clientes conectados na Banda Larga da Oi acessam algum site HTTP na web", afirmou a operadora, em nota.



O produto usado pela Oi é o N2 Reach, da empresa Nominum. Apenas sites sem criptografia (sem "HTTPS") podem ser modificados para a inclusão do código do anúncio -- uma limitação normal desse tipo de atividade. Embora clientes de acesso móvel (3G ou 4G) não vejam os anúncios, um celular ou tablet conectado no Wi-Fi da banda larga fixa não estará livre das ofertas.



Para Frederico Neves, diretor de Serviços e de Tecnologia do NIC.br, a alteração do tráfego HTTP, mesmo de páginas sem criptografia, não é correta "em hipótese nenhuma". "Se o tráfego for HTTP, uma operadora ou qualquer dispositivo no meio do caminho com acesso certamente pode manipular isso. Se é correto ou não, a resposta é obviamente não", disse Neves.



"Uma das presunções ao contratar um prestador serviço de acesso à internet é que ele só vai apenas encaminhar os seus pacotes e não ficar fuxicando no que está sendo enviado. Esse comportamento [de modificar ou acrescentar dados], seja lá qual for o motivo, é extremamente inadequado. Para mim, deve ser coibido e repreendido, com certeza", opinou o especialista. Ele disse que é a primeira vez que vê algo desse tipo no Brasil.



Neves diz acreditar que a neutralidade de rede prevista no Marco Civil da Internet pode proteger os internautas dessa manipulação dos dados.



Na imagem:comunicado da Oi foi incluído sobre a legislação no site do Planalto acessada no celular. O quadro não tinha link para desativar as ofertas. O Gabinete de Segurança Institucional da Presidência da República (GSI-PR) foi procurado, mas não se manifestou. O site do Planalto, como muitas páginas que de conteúdo público, não utiliza criptografia. (Foto: Reprodução)



Porém, a Agência Nacional de Telecomunicações (Anatel) entendeu que, a princípio, a inclusão dessas notificações não fere o Marco Civil da Internet. "A conduta descrita pela Prestadora Oi, em uma primeira análise, aparenta não se enquadrar em nenhuma das hipóteses de afronta à neutralidade de rede, visto que a prestadora, aparentemente, insere conteúdo nas páginas visitadas sem realizar discriminação, bloqueio, monitoramento, filtragem ou análise dos pacotes de dados", declarou a agência.



A Anatel reforçou que serviços de comunicação multimídia (SCM), como é o caso da Internet, são prestados "em regime privado, sob os princípios da livre iniciativa e da atividade econômica". Por outro lado, a agência afirmou que Oi deve informar seus consumidores previamente sobre a prática, segundo o Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações (RGC).



"Como a conduta descrita afeta significativamente a experiência percebida pelo usuário de seus serviços, entende-se como razoável que tal metodologia seja informada ao cliente, previamente à contratação, podendo este optar pela contratação do serviço sob estas condições", explica a Anatel.



Professor e advogado especializado em tecnologia, Guilherme Goulart afirma que vê "múltiplas ilicitudes" na conduta da Oi. Ele também disse discordar da interpretação da Anatel.



"O dono da página é o responsável por decidir qual conteúdo apresentará. Com ou sem Marco Civil, não se admite que um provedor de acesso intercepte e injete códigos nos fluxos de comunicações de seus clientes. Em sendo assim, não parece lícito que um provedor de acesso interfira e altere o fluxo do que o usuário acessa, pois está violando uma comunicação que não é a ele direcionada", diz o advogado.



Goulart ainda afirma que a publicidade da Oi pode trazer um dano para a imagem dos sites em que ela for exibida. Também é possível que ela caracterize concorrência desleal se, por exemplo, a publicidade da Oi for exibida em um site de outra operadora ou sobre uma oferta concorrente.



"Para incluir uma publicidade no site de um terceiro, o provedor de conexão precisa alterar e interferir no tráfego. Para isso, ele precisa interceptar. A neutralidade [do Marco Civil] abrange a ideia de não influir ou alterar o conteúdo das comunicações. O que se espera - até por uma questão de segurança - é que nenhum provedor de conexão altere o conteúdo dos dados trafegados. Viola-se um dos atributos de segurança da informação que é, justamente, a integridade", explica Goulart.



De acordo com a Nominum, que desenvolve o produto usado pela Oi, o sistema é capaz de controlar as impressões de anúncios, ou seja, apenas uma parcela das páginas visitadas será modificada para a inclusão das notificações. Mas isso também significa que o provedor possivelmente sabe quantas páginas um cliente está acessando.



"Dependendo como a injeção é realizada, é bastante provável que o provedor de conexão saiba quais as páginas o usuário está acessando, o que é vedado pelo Marco Civil, já que viola os dados dos clientes, além de representar uma ofensa à privacidade", lembra o advogado.



O blog Segurança Digital também procurou a TIM, a Claro e a Telefônica Vivo para saber se adotam alguma prática semelhante. A Vivo afirmou que não realiza qualquer alteração em dados transmitidos em suas conexões. A TIM inicialmente afirmou que não responderia às perguntas, mas, após a publicação da reportagem, disse que ainda não tinha a informação solicitada. O grupo Claro, que inclui a NET, respondeu após a publicação da reportagem que "a NET e a Claro seguem rigorosamente a legislação vigente e não praticam qualquer tipo de interferência no conteúdo que está sendo acessado pelos clientes".



Trecho atualizado com novo posicionamento da TIM em 23/03 às 17h20

Trecho atualizado com resposta da Claro em 23/03 às 18h55



Produto pode ser conectado à base de clientes

A Oi inicialmente informou oficialmente -- e depois voltou atrás -- que a tecnologia empregada é a N2 Reach, um produto da Nominum. A Nominum foi adquirida em novembro de 2017 pela Akamai, uma gigante da área de distribuição de conteúdo on-line. O Facebook, por exemplo, é cliente da Akamai. Nas páginas alteradas pelo N2 Reach, é visível um código carregado de um endereço chamado "nom-proxy" ("Nom" de "Nominum"), que não existe fora da rede da Oi do Rio de Janeiro.



Consultada pelo blog Segurança Digital, a Nominum se negou a oferecer uma explicação técnica aprofundada sobre o funcionamento do produto. Dessa forma, é impossível saber se realmente não há qualquer "monitoramento, filtragem ou discriminação", como acredita a Anatel, ou que nenhum dado dos clientes é coletado.



Em seu material de marketing, a Nominum deixa claro que a operadora pode interligar os anúncios com sua base de clientes. Isso permite que a operadora envie avisos sobre faturas em atraso ou dispare campanhas para seus próprios clientes. Com isso, seria possível divulgar um anúncio sobre TV por assinatura apenas para clientes que ainda não contrataram esse serviço, por exemplo.



Também é possível incluir nesses anúncios alguma informação pessoal do assinante, tais como o código do cliente. Segundo a Nominum, internautas "preferem" essas notificações na web a receber os avisos por e-mail, e a inclusão de dados de identificação confere legitimidade aos recados.



Mensagens sobre pagamentos em atraso ou contaminação por vírus são temas comuns de fraude na rede. Normalmente, recomenda-se ignorar qualquer alerta do gênero. Mas esses são alguns dos "usos sugeridos" do N2 Reach.









Sites que adotam criptografia ('HTTPS') não podem ser alterados durante a transmissão. Na imagem, como cada navegador indica o uso da criptografia em sites. O Edge não exibe o 'HTTPS', mas coloca um cadeado. (Foto: Reprodução)



Migração para tráfego criptografado

Sites que adotam páginas criptografadas (HTTPS) não podem ser alterados durante a transmissão. Caso ocorra essa alteração, os dados ficarão corrompidos e o navegador não poderá exibir a página corretamente. Por esse motivo, tecnologias como a N2 Reach não conseguem mexer nessas páginas.



A transmissão de páginas sem criptografia foi a regra durante a maior parte da história da web, e a criptografia era quase exclusiva do acesso on-line a serviços financeiros, mas isso está mudando. O navegador Chrome, do Google, pretende marcar todos os sites sem criptografia como "não seguros" a partir de julho de 2018, mesmo que a página não tenha qualquer informação sensível.



A redução dos custos para a adoção da criptografia, a possibilidade de impedir alterações de dados e os incentivos na busca do Google vêm fazendo o uso da criptografia aumentar . De acordo com o Google, 42% do tráfego dos usuários do Chrome no Windows e Android foi criptografado em 2016. Em 2017, a cifra passou para 68%. Com a nova medida do Chrome, que marcará páginas sem criptografia como "não seguras", donos de sites devem ficar ainda mais pressionados para adotar a criptografia.



SAIBA MAIS

Por que a web está migrando para o 'HTTPS'? G1 Explica

O quanto vale o cadeado nas páginas 'seguras' do HTTPS?



Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com