Postagens antigas no Twitter podem revelar mais sobre você do que você pensa, de acordo com um estudo publicado este mês. Os tweets podem revelar lugares visitados e coisas que você fez, mesmo que você não os tenha mencionado explicitamente.

Pesquisadores da Fundação de Pesquisa e Tecnologia da Grécia e da Universidade de Illinois descobriram tudo isso depois de escrever uma ferramenta chamada LPAuditor. O software extrai dados tweet publicamente disponíveis que qualquer um pode baixar do Twitter através de sua interface de programação de aplicativos (API).

Usando a ferramenta, eles analisaram os metadados – informações ocultas sobre um tweet incorporado ao post – para identificar as residências, os locais de trabalho e os lugares confidenciais dos usuários que eles visitaram. Em dezenas de casos, eles também conseguiram identificar os usuários por trás das contas anônimas do Twitter.

No artigo, intitulado “Please Forget Where I Was Last Summer: The Privacy Risks of Public Location (Meta)Data” (Por favor, esqueça onde estive no verão passado: os riscos de privacidade de (meta)dados de localização pública, em tradução livre) os pesquisadores disseram:

mesmo se os usuários forem cautelosos e nada sensível for divulgado nos tweets, as informações de localização obtidas com nossa abordagem baseada na duração podem resultar em perda significativa de privacidade.

A insegurança decorre de dados históricos do Twitter publicados antes de abril de 2015. Antes dessa data, se um usuário se identificasse geograficamente em uma área ampla, como uma cidade, a rede social incorporaria suas coordenadas de GPS nos metadados do tweet. Os usuários que simplesmente olham para o aplicativo ou site do Twitter não estavam cientes disso, porque ele aparece apenas nos dados brutos obtidos por meio da API. Embora o Twitter tenha parado de incorporar esses dados em 2015, as informações históricas ainda estão disponíveis publicamente por meio da API.

Os pesquisadores pegaram as coordenadas de GPS nos dados históricos e usaram serviços de geolocalização disponíveis publicamente para mapeá-los para um endereço. Em seguida, agrupou os tweets mapeados para o mesmo endereço, produzindo clusters de tweets e registrou todos com um registro de data e hora para indicar a frequência e o horário dos tweets dos usuários em locais específicos.

A equipe usou algumas suposições básicas sobre a vida doméstica nos EUA para identificar endereços residenciais, como a tendência de sair de manhã e voltar à noite e estar lá muito nos finais de semana. Ele usou suposições similares sobre o horário de trabalho para identificar onde os usuários do Twitter trabalhavam e até mesmo explicaram variações como turnos noturnos.

Os pesquisadores também mapearam as coordenadas de GPS dos outros tweets dos usuários em relação a outros endereços e locais listados no Foursquare. Isso disse a eles de quais outros locais os usuários provavelmente teriam tweetado. A partir disso, eles criaram clusters potencialmente sensíveis (PSCs), indicando locais sensíveis que os usuários provavelmente visitaram.

Eles fizeram tudo isso sem sequer olhar para o conteúdo real dos tweets, mas ao correlacionar esses metadados com esse conteúdo, eles puderam obter uma imagem ainda mais clara do que o usuário estava fazendo. Ao procurar frases como “em casa” ou “no trabalho”, eles poderiam confirmar que um local era um endereço residencial ou comercial.

Da mesma forma, ao procurar listas de palavras-chave relacionadas a atividades médicas, religiosas, sexuais ou noturnas, elas confirmam que um usuário estava em um local sensível envolvido em uma determinada atividade, embora o tweet não mencionasse explicitamente esse local ou comportamento. Eles explicaram no jornal:

Em um caso, o usuário expressou sentimentos negativos sobre o seu médico, enquanto as coordenadas do GPS colocam o usuário no consultório de um profissional de saúde mental. Em outro exemplo, o usuário reclamou de alguns exames de sangue, enquanto era geo-localizado em um centro de reabilitação.

Não apenas os pesquisadores conseguiram inferir mais sobre os usuários em seus tweets, mas também puderam identificar com precisão muitas contas anônimas do twitter, segundo o jornal. Eles acrescentaram que terceiros poderiam usar esses dados para identificar usuários e potencialmente inferir coisas sobre seu comportamento. Estes podem variar:

…de um regime repressivo “desanonimando” a conta de um ativista para uma companhia de seguros, inferindo os problemas de saúde de um cliente ou um potencial empregador conduzindo uma verificação de antecedentes.

O Twitter permite que as pessoas voltem e excluam tweets ou removam seus dados de localização retroativamente. O problema é que, como os dados estão disponíveis ao público, é provável que os corretores de dados e outros terceiros já tenham cópias dele.

A remoção dos dados de localização dos dados do Twitter não impedirá que esses terceiros acompanhem você:

A política de privacidade invasiva do Twitter não pode ser descartada como um caso de uma vulnerabilidade que foi corrigida. Enquanto esses dados históricos persistirem on-line, os usuários continuarão a enfrentar os riscos significativos de privacidade que destacamos neste documento.

Leia também: Tutorial: aumentando a segurança de sua conta no Twitter

Em suma, o que acontece em Vegas nem sempre pode ficar em Vegas. Se você twittou, poderia ter ido em todos os lugares.

Os pesquisadores apresentarão seu trabalho no Network and Distributed System Security Symposium (NDSS) no próximo mês.

Com informações do blog Naked Security da Sophos