Pesquisadores da Citizen Lab, da Universidade de Toronto, descobriram que o navegador Baidu está enviando uma grande quantidade de dados dos usuários de volta para seus servidores, na China.
Informações pessoais como coordenadas de GPS, termos pesquisados no campo de busca e até endereços da web visitados estão sendo enviados sem o conhecimento dos usuários e com propósitos não especificados.
O comportamento afeta tanto a versão para Android do navegador quanto a versão para Windows. Em smartphones, o navegador também envia dados sobre o IMEI do dispositivo, enquanto em PCs, são enviados dados do sistema e do hardware, como endereço MAC, número de série do disco rígido, modelo da CPU e outros dados que podem identificar o usuário.
Segundo os pesquisadores, como se essa “funcionalidade” do navegador não fosse preocupante o suficiente, o envio de dados também acontece sobre conexões sem criptografia ou com um sistema de criptografia muito frágil. Isso significa que terceiros devidamente qualificados seriam capazes de interceptar e até adulterar esses dados sem que o usuário ou a própria Baidu percebessem sua presença, o ataque conhecido como “man-in-the-middle“.
A Baidu respondeu ao relatório da Citizen Lab, justificando suas ações: “o Baidu pratica a coleta de dados de uma forma que é consistente com os mais elevados padrões de segurança e privacidade do usuário na indústria. Seguidores das leis aplicáveis, regulações assim como das políticas estabelecidas nos próprios termos de serviço do Baidu, nós garantimos a proteção dos dados do usuário”.
A empresa recusou-se a revelar o motivo para o monitoramento mas declarou que “ocasionalmente compartilha determinados dados que não são sensíveis de usuários com parceiros comerciais”. A Baidu também garantiu que não compartilha “determinados dados sensíveis com qualquer empresa terceira”, embora não tenha entrado em detalhes sobre como classifica seus dados entre sensíveis e não sensíveis.
