O LastPass, um gerenciador de senhas bastante popular, tem estado no centro das atenções após um relatório informar que o aplicativo coleta dados como o tipo de dispositivo, a versão do Android e até mesmo se o usuário conta com um plano gratuito e se a proteção biométrica está ativada.

Mike Kuketz, pesquisador alemão que divulgou o problema, considera totalmente inaceitável que aplicativos que processam dados extremamente confidenciais tenham módulos de publicidade e análise integrados a eles: “em termos gerais: nenhum código externo que não seja de sua propriedade e nem transparente pode ser integrado a aplicativos que processam dados sensíveis. Os desenvolvedores de aplicativos nem sempre sabem exatamente quais informações são coletas e transmitidas pelos módulos para os provedores terceirizados”, destacou.

Usando o Exodus, uma plataforma de auditoria de privacidade para aplicativos Android, Kuketz descobriu que, assim que o aplicativo para Android é iniciado, ele contata imediatamente os provedores de rastreamento. O aplicativo contém o Google Firebase Analytics, o Segment, o Google CrashLytics, o AppsFlyer, o Mixpanel e o Google Analytics.

As informações coletadas incluem o endereço IP do dispositivo, resolução de tela, fuso horário, Google Advertising ID, informações sobre o provedor de serviços, bem como, aparentemente, um ID de usuário gerado uma única vez. Enquanto o aplicativo está em uso, ele transmite metadados sobre as novas senhas que estão sendo criadas e o tipo de cada uma delas. No entanto, os rastreadores não coletam dados de conteúdo.

É importante ressaltar que o app não solicita em nenhum momento o consentimento dos usuários para que alguns de seus dados sejam transmitidos a provedores externos. Kuketz afirma que o aplicativo não oferece a possibilidade de que os usuários possam escolher se desejam ou não participar da coleta de dados. No entanto, um porta-voz do LastPass disse ao portal The Register que o aplicativo disponibiliza essa opção.

“Todos os usuários do LastPass, independentemente do navegador ou dispositivo, têm a opção de não fazer parte dessas análises nas configurações de privacidade do LastPass, localizadas em: Account Settings > Show Advanced Settings > Privacy. Estamos continuamente revisando nossos processos existentes e trabalhando para torná-los melhores para cumprir e superar os requisitos dos padrões de proteção de dados vigentes”, disse o porta-voz. A empresa também emitiu um comunicado após o lançamento do relatório.

O porta-voz também garantiu que nenhum tipo de informação pessoal identificável de usuário ou atividade do cofre de senhas pode passar pelos rastreadores, acrescentando que os rastreadores apenas coletam dados estatísticos agregados sobre o uso do aplicativo, que são usados ​​para otimizar e melhorar o LastPass. É importante observar, entretanto, que alguns desses rastreadores também são encontrados em vários outros gerenciadores de senhas amplamente usados.

Veja também: Os aplicativos realmente precisam de todas as permissões solicitadas?

Embora o relatório possa ser desconcertante para os usuários preocupados com a privacidade, o documento não exclui os benefícios de usar um gerenciador de senhas - inclusive para evitar cometer os erros mais comuns na criação de senhas. Os usuários que procuram dobrar sua segurança podem escolher entre uma variedade de soluções gratuitas e pagas, com algumas até mesmo sendo diretamente integradas em soluções de segurança. Além disso, os usuários também podem adicionar uma camada extra de segurança como a autenticação de dois fatores em todos os serviços que disponibilizem essa opção.