Usuarios de Facebook demandan a Meta

Después de que Apple actualizó sus reglas de privacidad en 2021 para permitir fácilmente a los usuarios de iOS optar por no participar en el seguimiento de aplicaciones de terceros, tantas personas optaron por no participar que Electronic Frontier Foundation informó que Meta perdió $ 10 mil millones en ingresos durante el próximo año.

El modelo de negocio de Meta depende de la venta de datos de los usuarios a los anunciantes, y parece que el propietario de Facebook e Instagram buscó nuevos caminos para seguir recopilando datos de forma generalizada y recuperarse de la repentina pérdida de ingresos. El mes pasado, un investigador de privacidad y ex ingeniero de Google, Felix Krause, alegó que una forma en que Meta buscaba recuperar sus pérdidas era dirigiendo cualquier enlace en el que un usuario haga clic en la aplicación para abrir en el navegador, donde Krause informó que Meta podía inyectar un código, alterar los sitios web externos y realizar un seguimiento de “cualquier cosa que haga en cualquier sitio web”, incluido el seguimiento de contraseñas, sin el consentimiento del usuario.

Ahora, la semana pasada, dos demandas colectivas de tres usuarios de Facebook e iOS, que apuntan directamente a la investigación de Krause, están demandando a Meta en nombre de todos los usuarios de iOS afectados, acusando a Meta de ocultar riesgos de privacidad, eludiendo Opciones de privacidad del usuario de iOS e interceptar, monitorear y registrar toda la actividad en sitios web de terceros vistos en el navegador de Facebook o Instagram. Esto incluye entradas de formularios y capturas de pantalla que otorgan a Meta una canalización secreta a través de su navegador en la aplicación para acceder a “información de identificación personal, detalles de salud privados, entradas de texto y otros datos confidenciales sensibles”, aparentemente sin que los usuarios sepan que la recopilación de datos está ocurriendo.

La denuncia más reciente fue presentada ayer por Gabriele Willis, con sede en California, y Kerreisha Davis, con sede en Luisiana. Un abogado de su equipo legal en Girard Sharp LLP, Adam Polk, le dijo a Ars que era un caso importante para evitar que Meta se saliera con la suya ocultando las invasiones de privacidad en curso. En la denuncia, el equipo legal señaló las fechorías anteriores de Meta al recopilar información del usuario sin consentimiento, y señaló para el tribunal que una investigación de la Comisión Federal de Comercio resultó en una multa de $ 5 mil millones para Meta.

“Simplemente usar una aplicación no le da a la compañía de aplicaciones licencia para mirar por encima de su hombro cuando hace clic en un enlace”, dijo Polk a Ars. “Este litigio busca responsabilizar a Meta por monitorear en secreto la actividad de navegación de las personas a través de su seguimiento en la aplicación, incluso cuando no han permitido que Meta haga eso”.

Meta no respondió de inmediato a la solicitud de comentarios de Ars. Krause le dijo a Ars que prefiere no comentar. [Actualización: un portavoz de Meta proporcionó a Ars una declaración: “Estas acusaciones no tienen fundamento y nos defenderemos enérgicamente. Hemos diseñado cuidadosamente nuestro navegador en la aplicación para respetar las opciones de privacidad de los usuarios, incluida la forma en que se pueden usar los datos para los anuncios. “]

Meta supuestamente rastrea datos en secreto


Según las denuncias, que se basan en los mismos hechos, la investigación de Krause “reveló que Meta ha estado inyectando código en sitios web de terceros, una práctica que le permite a Meta rastrear a los usuarios e interceptar datos que de otro modo no estarían disponibles”.

Para investigar el posible problema de privacidad, Krause creó un sitio web llamado inappbrowser.com, donde los usuarios podrían “detectar si un navegador en particular en la aplicación está inyectando código en sitios web de terceros”. Comparó una aplicación como Telegram, que no inyecta código JavaScript en sitios web de terceros para rastrear los datos del usuario en su navegador en la aplicación, con la aplicación de Facebook al rastrear lo que sucede en el archivo HTML cuando un usuario hace clic en un enlace.

En el caso de las pruebas realizadas en las aplicaciones de Facebook e Instagram, Krause informó que el archivo HTML mostraba claramente que “Meta usa JavaScript para alterar los sitios web y anular la configuración de privacidad predeterminada de sus usuarios al dirigir a los usuarios al navegador de la aplicación de Facebook en lugar de a su configuración previa”. navegador web predeterminado programado”.

Las quejas señalan que esta táctica de inyectar código aparentemente empleada por Meta para “escuchar” a los usuarios se conocía originalmente como un ataque de inyección de JavaScript. La demanda define eso como instancias en las que “un actor de amenazas inyecta código malicioso directamente en el JavaScript del lado del cliente. Esto permite que el actor de amenazas manipule el sitio web o la aplicación web y recopile datos confidenciales, como información de identificación personal (PII) o información de pago .”

Ver más: WhatsApp: Tips para convertirse en un profesional de los mensajes de voz

“Meta ahora está utilizando esta herramienta de codificación para obtener una ventaja sobre sus competidores y, en relación con los usuarios de iOS, preservar su capacidad para interceptar y rastrear sus comunicaciones”, alega la denuncia.

Según las quejas, “Meta reconoció que rastrea la actividad de navegación en la aplicación de los usuarios de Facebook” cuando Krause informó el problema a su programa de recompensas por errores. Las quejas dicen que Meta también confirmó en ese momento que utiliza datos recopilados de la navegación en la aplicación para publicidad dirigida.

“Nada alerta a los usuarios”


Debido a que otra aplicación popular de Meta, WhatsApp, tampoco emplea la misma táctica, los demandantes dijeron que rechazan la sugerencia de Meta de que la inyección de código podría ser segura.

También señalan que Meta no menciona el seguimiento del navegador en la aplicación en su configuración de actividad fuera de Facebook, donde los usuarios pueden monitorear cómo se recopilan sus datos de empresas o sitios web. Por ejemplo, los usuarios pueden rastrear los datos compartidos cuando usan el inicio de sesión de Facebook para acceder a cuentas fuera de Facebook en otros sitios web.

Las quejas alegan que “no hay justificación para que” Meta omita esta información del monitoreo de actividad fuera de Facebook, “aparte de aumentar” las ganancias, “más allá de lo que de otro modo se habría dado cuenta”.

Las políticas actuales de Meta están intencionalmente diseñadas para dejar a los usuarios en la oscuridad, alega la demanda.

“Meta no informa a los usuarios de Facebook que hacer clic en enlaces a sitios web de terceros desde Facebook enviará automáticamente al usuario al navegador integrado en la aplicación de Facebook, a diferencia del navegador web predeterminado del usuario, o que Meta controlará la actividad y las comunicaciones del usuario. mientras está en esos sitios”, afirman las denuncias. “Debido a que nada alerta a los usuarios sobre estos hechos, desconocen el seguimiento; la mayoría ni siquiera se da cuenta de que está navegando en el sitio web de un tercero desde el navegador de la aplicación de Facebook”.

Krause señaló en su informe que incluso los usuarios de iOS en modo de bloqueo no están protegidos contra el seguimiento del navegador en la aplicación y no hay forma de optar por no participar. Recomendó que Meta actualice la configuración de Instagram y Facebook para operar más como WhatsApp y nunca modificar sitios web de terceros. La solución más obvia es finalizar la navegación predeterminada en la aplicación y dar a los usuarios la opción de mostrar los enlaces en los que hacen clic en los navegadores elegidos.

Después de que Krause envió lo que identificó como un problema de privacidad a Meta a través de su programa de recompensas por errores, informó que Meta dijo que el script se inyectó en parte porque era una función de seguridad que “ayuda a Meta a respetar la opción de exclusión voluntaria de ATT del usuario” para no vender o compartir información. Krause señaló que esto “solo es relevante si el sitio web representado tiene Meta Pixel instalado” para rastrear la actividad de los visitantes y que “no sería necesario si Instagram abriera el navegador predeterminado del teléfono”.

En última instancia, Meta cerró el informe de error de Krause, diciendo que la inserción del código por parte de Meta fue “intencional” y “no un problema de privacidad”.

Ahora, los usuarios de Facebook han tomado el relevo y confían en el informe de errores de Krause para impugnar la decisión de Meta en los tribunales. Los demandantes solicitaron un juicio con jurado y le piden al tribunal que “restringa permanentemente a Meta” para que no continúe realizando lo que consideran ataques de inyección de JavaScript diseñados para permitir que Meta “intercepte las comunicaciones privadas de los usuarios y rastree la actividad de Internet de los usuarios en sitios web de terceros”. de una manera que es inconsistente” con la configuración de privacidad deseada por los usuarios.

Si el tribunal acepta que Meta violó intencionalmente las leyes, incluida la Ley de escuchas telefónicas, la Ley de invasión de la privacidad de California (CIPA) y la Ley de violación de la competencia desleal de California, Meta podría enfrentar multas elevadas.

La demanda sugiere que millones de usuarios podrían haberse visto afectados desde que Meta comenzó a inyectar el código en sitios web de terceros. Los meta registros podrían usarse para identificar a “todas las personas con cuentas activas de Facebook que visitaron un sitio web externo de un tercero en el navegador de la aplicación de Facebook” y, por lo tanto, son elegibles para presentar reclamos. Si los demandantes ganan, cada usuario que se considere afectado negativamente tendría derecho a daños legales de hasta “$ 10,000 o $ 100 por día por cada día de violación” de la Ley de escuchas telefónicas y “daños legales por un monto de $ 5,000 por violación” de CIPA. El tribunal también puede imponer otras multas.

Mientras tanto, las demandas dicen que hay una manera fácil de evitar que Meta recopile esta información. En lugar de hacer clic en enlaces compartidos en Facebook o Instagram, cópielos y péguelos directamente en su navegador preferido.