Venmo corrige falhas de privacidade após anos de escrutínio e críticas

A plataforma de pagamentos digitais Venmo, propriedade da PayPal, anunciou finalmente que irá corrigir as falhas de privacidade que, durante anos, permitiram que dados pessoais dos seus utilizadores ficassem expostos ao público por defeito. Esta mudança, há muito aguardada, surge quase uma década depois de os problemas terem sido inicialmente identificados e destacados por investigadores de segurança, marcando uma viragem significativa na abordagem da empresa à proteção dos dados dos seus utilizadores.

Venmo Acorreta Falhas de Privacidade Após Oito Anos de Críticas

Desde 2018 que se sabia que a Venmo possuía lacunas graves na privacidade dos seus utilizadores. Um investigador de segurança demonstrou, nessa altura, como a interface de programação de aplicações (API) do serviço podia ser explorada para recolher uma quantidade preocupante de dados pessoais dos utilizadores da aplicação. O mais alarmante era o facto de as transações e as mensagens que as acompanhavam, bem como a lista de contactos dos utilizadores na aplicação, serem definidas como públicas por defeito, expondo informações que a maioria consideraria estritamente privadas. Esta predefinição levou a inúmeras situações embaraçosas e a sérias preocupações sobre a segurança e a integridade dos dados dos utilizadores.

A Exposição Inadvertida de Dados e Casos Emblemáticos

Em 2024, uma vulnerabilidade relacionada com estes problemas de privacidade ainda persistia, sendo utilizada para revelar informações potencialmente constrangedoras sobre figuras públicas. Um novo relatório, porém, indica que a empresa está, com considerável atraso, a remediar a situação. A raiz do problema residia no facto de as transações da Venmo, as mensagens que as acompanhavam e os contactos na aplicação serem, por predefinição, públicos. Um investigador de segurança, que analisou mais de 200 milhões de transações, apresentou cinco histórias ilustrativas que demonstravam o nível alarmante de informação que era revelado. Entre estes exemplos, destacaram-se as transações de um alegado traficante de canábis e a relação de um casal que parecia viver um verdadeiro drama de novela.

Um dos exemplos mais elucidativos incluía uma troca de mensagens entre um casal. “Por favor, deixa-me em paz”, terá dito a mulher, identificada pelo investigador como Susana. “Eu só te amo. Fico triste por não perceberes”, respondeu o homem. Numa troca posterior, ele afirmava: “É muito claro que me estavas a usar o tempo todo. Demorei um pouco a perceber isso.” Na manhã seguinte, mostrava-se arrependido: “Peço desculpa. Retiro tudo o que disse.” Estas conversas íntimas, expostas ao domínio público, sublinham a gravidade da falta de privacidade. Embora a Venmo tenha, mais tarde, oferecido a opção de manter os contactos privados, esta configuração não era a predefinida. Tal falha voltou a ser notícia em 2024, quando revelou uma contradição entre o alegado desprezo de JD Vance pela elite e a sua própria extensa rede de contactos. A sua conta pública Venmo proporcionou um vislumbre sem filtros da sua vasta rede de ligações com figuras proeminentes do Partido Republicano, financeiros abastados, executivos de tecnologia, a imprensa de prestígio e colegas graduados da Yale Law School — precisamente as elites contra as quais ele tanto se manifestava. A PayPal, empresa-mãe, havia, na altura, defendido que se tratava de uma funcionalidade e não de um erro, recusando-se a corrigi-lo. No entanto, a empresa parece finalmente ter mudado de ideias, comunicando ao The Verge que está a alterar as definições de privacidade predefinidas. A Venmo iniciará testes para um redesenho significativo da sua aplicação, e como parte das mudanças, implementará uma nova e importante medida de privacidade: o processo de integração para novos utilizadores definirá as suas publicações para serem visíveis apenas pelos amigos por defeito, em vez de serem públicas. A definição predefinida será para amigos, mas os utilizadores poderão alterá-la para “apenas eu”. Ainda não é claro se os contactos continuarão a ser visíveis publicamente por defeito, mas a nova aplicação deverá ser lançada nas próximas semanas.

A Perspetiva Europeia sobre Privacidade por Defeito

Apesar de a Venmo ser uma aplicação predominantemente utilizada nos Estados Unidos, a sua longa história de falhas de privacidade e a recente decisão de as corrigir oferecem uma importante lição no contexto europeu. Na Europa, regulamentações como o Regulamento Geral sobre a Proteção de Dados (RGPD) estabelecem um padrão muito mais elevado para a proteção de dados pessoais, com um foco particular nos princípios de “privacidade desde a conceção” e “privacidade por defeito”. A situação da Venmo, onde dados sensíveis eram públicos por predefinição, estaria em flagrante contradição com os requisitos do RGPD, que exige que as configurações mais restritivas de privacidade sejam as padrão para o utilizador. Este incidente realça a importância de que todas as aplicações que processam dados pessoais, especialmente as financeiras, adotem uma abordagem proativa à privacidade, garantindo que os utilizadores mantêm o controlo total sobre as suas informações desde o primeiro momento de interação com o serviço. As entidades europeias estariam sujeitas a coimas pesadas por práticas como as que a Venmo manteve durante anos.

Implicações para o Consumidor Europeu e Português

Embora a Venmo não seja amplamente utilizada em Portugal, a correção destas falhas tem implicações diretas para a forma como os consumidores portugueses devem abordar a privacidade em aplicações de pagamentos e redes sociais similares. A exigência de “privacidade por defeito” é um pilar fundamental da proteção de dados na União Europeia, e os consumidores portugueses beneficiam diretamente deste quadro regulatório rigoroso. Este caso da Venmo serve como um alerta para a importância de verificar sempre as definições de privacidade de qualquer aplicação, mesmo aquelas que se assumem como seguras ou que operam sob a égide de grandes empresas tecnológicas. Os utilizadores em Portugal, ao utilizarem serviços de pagamentos digitais como o MB Way ou outras plataformas de transferência P2P, devem esperar e exigir os mais altos padrões de privacidade desde o início. A história da Venmo reitera que a responsabilidade pela privacidade recai não apenas sobre o utilizador, mas, fundamentalmente, sobre os criadores e operadores das aplicações, que devem conceber os seus produtos com a proteção de dados em mente.