Democratas do Congresso em o Comitê Econômico Conjunto afirma ter identificado mais de US$ 20,9 bilhões em perdas de consumidores vinculadas ao roubo de identidade relacionado a quatro grandes violações envolvendo empresas de corretagem de dados. A estimativa foi divulgada na sexta-feira em um relatório minoritário resultante de uma investigação de meses sobre práticas de corretores de dados lançada pela senadora dos Estados Unidos Maggie Hassan.
Hassan, um democrata de New Hampshire e membro graduado do JEC, enviou solicitações de investigação a cinco grandes corretores de dados – Comscore, Findem, IQVIA Digital, Telesign e 6Sense Insights – em agosto, após uma investigação de A marcação e CalMatterscopublicado pela WIRED, descobriu que alguns corretores de dados estavam ocultando ferramentas de exclusão do Google e de outros mecanismos de pesquisa usando instruções “sem índice” que instruem os rastreadores da web a não listar a página.
É demonstrado que os golpistas usam o tipo de dados confidenciais que empresas como essas detêm – incluindo identificadores como datas de nascimento, endereços e até números de seguro social – para atingir as vítimas com fraudes personalizadas.
Quatro das empresas tomaram medidas após a divulgação de Hassan para melhorar o acesso às opções de exclusão, inclusive removendo o código “sem índice”, adicionando links mais proeminentes e publicando orientações sobre o exercício dos direitos de privacidade.
Findem, no entanto, não respondeu a Hassan ou ao acompanhamento da equipe do comitê, e a equipe disse que a empresa não removeu o código “sem índice” de sua página. As ligações da WIRED para Findem na quinta-feira não foram atendidas.
O relatório diz que a “falta de resposta” da Findem às perguntas dos legisladores levanta “questões sérias e amplas sobre a sua capacidade de resposta aos pedidos de exclusão e o compromisso com a privacidade dos dados”, acrescentando que as suas próprias divulgações obrigatórias de 2024 mostram que a empresa “não processou 80 por cento dos pedidos de privacidade de consumidores e outras partes”, citando “dados insuficientes”.
IQVIA, 6sense e Comscore não responderam imediatamente aos pedidos de comentários. A Telesign encaminha as consultas da imprensa por meio de um formulário on-line que exige o consentimento dos repórteres para o recebimento de comunicações de marketing, que não foi utilizado para esse motivo; em vez disso, foi tentado um endereço de e-mail da empresa que apareceu em dados de violação vazados anteriormente.
A investigação Markup/CalMatters descobriu que dezenas de corretores de dados registrados na Califórnia estavam usando o código “sem índice” e outros chamados padrões obscuros que tornam as páginas de exclusão e exclusão mais difíceis de encontrar. “Ao fazer isso”, diz o relatório minoritário do JEC, “as empresas tornaram mais difícil para as pessoas protegerem as suas informações contra golpistas”.
A Comscore disse ao comitê que revisou seu site após receber a solicitação de Hassan e descobriu que sua página “Direitos do Titular dos Dados” – que direciona os usuários a formulários separados para envio de solicitações de exclusão – continha um código “sem índice”. A empresa disse que rastreou o código, que foi removido, até uma versão anterior da página criada em 2003. O relatório diz que a empresa não conseguiu determinar por que foi adicionado, mas sugeriu que “não tinha a intenção de impedir o acesso do consumidor”.
A Telesign confirmou que seu formulário de cancelamento, hospedado em uma página “Solicitação de privacidade”, não estava aparecendo nos resultados da pesquisa no momento do relatório do Markup/CalMatters; atribuiu o problema a uma ferramenta de SEO de terceiros que restringe a visibilidade por padrão e afirma que agora habilitou a indexação e adicionou um link de rodapé ao formulário.
A equipe do JEC diz que a abordagem da Telesign ainda força os consumidores a olhar além de seu site principal e, mesmo onde existem links, eles muitas vezes estão enterrados em páginas que os usuários não pensariam razoavelmente em verificar – incluindo páginas de aviso de privacidade com mais de 9.000 palavras.
A 6sense contestou que seu principal “Centro de Privacidade” estivesse oculto, mas reconheceu que sua página “Política de Privacidade” – que contém links para ferramentas de exclusão – anteriormente continha código “sem índice”, acrescentando que removeu o código após o relatório Markup/CalMatters. A 6sense foi a única empresa a relatar o uso de auditorias de terceiros para avaliar a visibilidade das opções de cancelamento e se as solicitações estão sendo processadas com sucesso, diz o relatório.
