Calendário do período

Aviso: *privacidade não incluída neste produto

Calendário do período

Data da avaliação: 9 de Agosto de 2022

|
A Mozilla investigou por 8 horas
|

Opinião da Mozilla

|
Votos das pessoas: Não é assustador

Aqui está um aplicativo de rastreamento de ciclo menstrual com mais de 10 milhões de downloads na loja do Google Play que nos parece um pouco incompleto. Feito pelo desenvolvedor de aplicativos AppManage Group #1, LLC sob o pseudônimo de Simple Innovation, ficamos com mais perguntas do que respostas quando tentamos saber mais sobre a empresa. O site da Simple Innovation é, bem, mesmo muito simples. Eles parecem fazer quatro aplicativos no total, que eles chamam de "deleites simples": este aplicativo de rastreamento de ciclo menstrual, um aplicativo de rastreamento de peso, um aplicativo de temporizador de ovo e um aplicativo de temporizador de bife. Essa é uma grande diversidade de aplicativos lá. Eles dizem que o aplicativo de rastreamento de ciclo menstrual "é uma aplicação extremamente elegante e fácil de usar que ajuda as mulheres a acompanhar menstruações, ciclo, ovulação e dias férteis."

Boa sorte em encontrar uma política de privacidade no site da Simple Innovation. No site, não há nenhum link que possamos encontrar, o que é meio ruim. Encontramos uma página de segurança que nos disse como relatar vulnerabilidades de segurança, o que é bom, gostamos de ver que essas informações foram fornecidas. Mas quando se trata da única informação fornecida no site, ficamos um pouco preocupados. Conseguimos encontrar dois links separados para as políticas de privacidade nas páginas do aplicativo na Google Play Store e na Apple App Store. A política de privacidade do aplicativo Calendário do período vinculado ao Google Play foi atualizada pela última vez em março de 2021, e a política de privacidade vinculada às lojas Apple App foi atualizada pela última vez em dezembro de 2019. Nada disso é um bom presságio para a privacidade deste aplicativo de rastreamento de ciclos menstruais. Na verdade, diríamos que suas proteções de privacidade parecem bastante questionáveis e, infelizmente, suas proteções de segurança parecem igualmente ruins.

O que pode acontecer se algo der errado?

Há algo meio engraçado e também não muito engraçado quando você vê que um aplicativo de rastreamento de ciclo menstrual e um aplicativo de temporizador de ovo feito pela mesma empresa têm basicamente a mesma política de privacidade padrão. Achamos que ambos lidam com ovos, certo? É só que um aplicativo pode vazar ou compartilhar dados que podem fazer com que você seja assediado ou preso em estados onde o aborto não é mais legal e o outro pode vazar que você gosta de ferver seus ovos em sua casa 5 vezes por semana. Engraçado e nem um pouco engraçado.

Uma coisa que os seus simpáticos pesquisadores de privacidade aqui em *Privacidade não incluída realmente, realmente não gostam é de imprecisão nas políticas de privacidade. A política de privacidade do Calendário do período é bastante vaga. Diz coisas como: "As informações são coletadas automaticamente quando você usa nosso aplicativo. As informações coletadas podem incluir detalhes de uso, metadados e informações em tempo real sobre a localização do seu dispositivo. Geralmente, não coletamos ou armazenamos informações pelas quais nós mesmos podemos identificá-lo pessoalmente..." Que "pode" e "geralmente" deixam espaço para manobra, o que nos deixa desconfortáveis quando se trata de quais dados podem ser coletados sobre você, especialmente dados de identificação pessoal e dados de localização em tempo real.

Outra coisa que seus amigáveis pesquisadores de privacidade odeiam são coisas que não fazem sentido. Para nós, não faz sentido que a política de privacidade diga que eles geralmente não coletam dados que possam identificá-lo pessoalmente, enquanto afirmam na seção de segurança de dados da página do aplicativo da Apple App Store que eles usam "identificadores" para rastreá-lo (isso pode incluir coisas como publicidade ou IDs de dispositivo, que, por exemplo, não são exatamente seu nome ou endereço de e-mail, mas ainda podem ser vinculados a você) e que informações confidenciais e informações de contato podem ser dados vinculados a você. E a página da loja do Google Play afirma claramente em sua seção de segurança de dados que os dados coletados podem incluir nome, e-mail e IDs de usuário. Na mesma seção na página do aplicativo, a empresa diz que nenhum dado é compartilhado com terceiros. E a política de privacidade lista uma série de anunciantes de terceiros, como Google, Facebook e Amazon, com quem compartilham dados. Tudo isso nos deixa com a pulga atrás da orelha. Também é justo notar que as próprias regras do Google sobre como as informações são autorreferidas pelas empresas nessas páginas de segurança de dados são bastante confusas e, às vezes, estonteantes para nós.

O Calendário do período diz que pode compartilhar alguns dados do usuário com terceiros para serviços de publicidade e personalização. E eles dizem que "podem usar e divulgar informações agregadas ou de outra forma anonimizadas que não se relacionem com uma pessoa física identificável sem restrições." Agora é um bom momento para lembrá-lo de que foi muito fácil desanonimizar esses dados, especialmente se os dados de localização forem incluídos.

Portanto, o aplicativo Calendário do período coleta dados que podem ou não ser pessoalmente identificáveis (dados de localização precisos geralmente são bastante identificáveis). E eles dizem: "Quando você usa o aplicativo em um dispositivo móvel Apple ou Android, certos terceiros podem usar tecnologias automáticas de coleta de informações para coletar informações sobre você ou seu dispositivo. Esses terceiros podem incluir anunciantes, redes de anúncios, servidores de anúncios e empresas de análise." Então, terceiros estão coletando informações sobre você enquanto você usa este aplicativo, incluindo Facebook, Amazon e outras redes de publicidade. Calendário do período também diz que eles podem usar informações anônimas sem restrições, mesmo que esses dados às vezes possam ser re-identificados.

Há também como o Calendário do período diz que podem compartilhar informações com as autoridades policiais. Aqui eles são muito vagos. Tudo o que encontramos em sua política de privacidade foi esta declaração, que não inspira muita confiança de que eles não divulgarão voluntariamente os dados de seus usuários: "Usamos as informações coletadas através do aplicativo para ... cumprir qualquer ordem judicial, lei ou processo legal."

Nenhuma dessas coisas nos tranquiliza sobre as práticas de privacidade do aplicativo Calendário do período. Também é bom notar que os Relatórios de Consumidores também tinham preocupações com este aplicativo quando o revisaram em 2020.

E embora a privacidade seja uma preocupação com este aplicativo, descobrimos que a segurança é uma preocupação ainda maior. Conseguimos fazer login no aplicativo usando a senha incrivelmente insegura de "1". Sim, um 1 foi permitido como senha para um aplicativo que rastreia sua menstruação. Isso é muito ruim. Em suma, simplesmente não confiamos na segurança deste aplicativo. No entanto, eles fizeram questão de ter uma maneira de relatar vulnerabilidades de segurança em um site que contém poucas informações adicionais. O que, por um lado, é bom, gostamos de ver essa informação disponível. Isso também levanta algumas questões, pois eles não sentiram a necessidade de fornecer muitas outras informações em seu site sobre a empresa ou suas políticas de privacidade, o que nos faz imaginar se eles esperam ou experimentam muitas vulnerabilidades de segurança? Nós simplesmente não sabemos.

Qual é o pior que poderia acontecer com este aplicativo de rastreamento de ciclo mesntrual? Pelo amor de Deus, por favor, não baixe para descobrir. As práticas de privacidade são questionáveis, na melhor das hipóteses. As práticas de segurança são fracas, na melhor das hipóteses. O aplicativo Calendário do período nos deixa com muitas perguntas para nos sentirmos confortáveis. Droga, achamos que não confiaríamos em baixar o aplicativo de temporização de ovos que essa empresa faz. Há uma chance muito grande de que este aplicativo venha com *Privacidade não incluída.

Dicas para se proteger

  • Adicione um bloqueio de aplicativo para o seu calendário se outra pessoa estiver usando seu telefone/outro dispositivo
  • Quando você não estiver mais usando o aplicativo, vá para "Excluir conta" no menu do aplicativo
  • Escolha uma senha forte! Você pode usar uma ferramenta de controle de senha como 1Password, KeePass, etc.
  • Use os controles de privacidade do seu dispositivo para limitar o acesso às suas informações pessoais via aplicativo (não dê acesso à sua câmera, microfone, imagens e vídeos)
  • Mantenha seu aplicativo atualizado regularmente
  • Limite o rastreamento de anúncios através do seu dispositivo (por exemplo, no iPhone, vá para Privacidade - > Publicidade -> Limitar rastreamento de anúncios) e as maiores redes de anúncios (para o Google, vá para a Conta do Google e desative a personalização de anúncios)
mobile Privacidade aviso Segurança aviso Inteligência artificial

Pode me bisbilhotar? informações

Câmera

Dispositivo: Não aplicável

Aplicativo: Não

Microfone

Dispositivo: Não aplicável

Aplicativo: Não

Rastreia localização

Dispositivo: Não aplicável

Aplicativo: Sim

O que pode ser usado para se inscrever?

Que dados a empresa coleta?

Como a empresa usa esses dados?

Fazemos um alerta sobre este produto por compartilhar dados de localização em tempo real para publicidade. E por usar alguns dados coletados sem restrições.

"A Empresa pode usar e divulgar informações agregadas ou de outra forma anonimizadas que não se relacionem com uma pessoa física identificável sem restrições." Isso significa que os dados podem ser vendidos. Dado que uma empresa coleta metadados e dados de localização em tempo real, isso levanta questões de privacidade.

"A Empresa fornece o ID de publicidade gerado pelo dispositivo móvel Apple ou Android (que é um identificador não persistente do seu dispositivo que você pode redefinir a qualquer momento) e também pode fornecer dados de localização em tempo real, dados de uso ou outras informações relacionadas ao seu uso do Aplicativo e outros serviços através do seu dispositivo móvel (mas não fornecerá seu nome ou seu endereço de e-mail) a esses servidores de anúncios ou redes de anúncios de terceiros ("Anunciantes"). Os anunciantes também podem usar tecnologias de rastreamento para coletar informações sobre você quando você usa o aplicativo. Os anunciantes podem coletar informações sobre atividades online ao longo do tempo e em diferentes sites, aplicativos e outros sites de serviços online sob um ID de publicidade específico. Os anunciantes podem usar essas informações (incluindo as informações que fornecemos a eles) para fornecer publicidade baseada em interesse (comportamental) ou outro conteúdo direcionado ao seu dispositivo móvel."

A política de privacidade lista anunciantes como Facebook, Google, Amazon, etc.

"As informações são coletadas automaticamente quando você usa nosso aplicativo. As informações coletadas podem incluir detalhes de uso, metadados e informações em tempo real sobre a localização do seu dispositivo. Geralmente, não coletamos ou armazenamos informações pelas quais possamos identificá-lo pessoalmente ("Informações de Identificação Pessoal" ou "IIP") através do App."

"Também podemos usar informações que não podemos usar para identificá-lo pessoalmente, a fim de otimizar e melhorar nossos serviços; fornecer conteúdo personalizado no aplicativo; exibir anúncios direcionados; para qualquer outra finalidade divulgada por nós quando você fornece as informações ou para proteger os direitos, a propriedade ou a segurança da Empresa, de nossos clientes ou de outros."

Como a empresa diz que pode compartilhar dados com a aplicação da lei:
"Usamos as informações coletadas através do aplicativo para [...] cumprir qualquer ordem judicial, lei ou processo legal."

Como você pode controlar seus dados?

Fazemos um alerta sobre este aplicativo porque não há detalhes claros de retenção de dados mencionados e não está claro que todos os usuários do aplicativo tenham o mesmo direito de acessar e excluir todos os dados coletados pelo aplicativo.

Se, por qualquer motivo, você desejar que seus dados de usuário sejam excluídos dos sistemas do aplicativo, envie um e-mail para [[email protected]] com o assunto "Solicitação de exclusão de dados". Observe que entramos em contato com este endereço de e-mail com nossas perguntas relacionadas à privacidade três vezes e nunca recebemos uma resposta.

Nenhum detalhe de retenção é mencionado.

A política de privacidade deles afirma: "Se você não deseja que suas informações sejam coletadas ou usadas conforme descrito nesta política, poderá desinstalar o aplicativo a partir do(s) dispositivo(s) no(s) qual(is) você o baixou." E "Você pode interromper toda a coleta de informações pelo aplicativo desinstalando o aplicativo"

Qual é o histórico conhecido da empresa na proteção de dados dos usuários?

Médio

Nenhum incidente conhecido de privacidade ou segurança foi descoberto nos últimos 3 anos.

Este produto pode ser usado offline?

Sim

Informações de privacidade fáceis de entender?

Não

Eles tinham diferentes políticas de privacidade vinculadas às diferentes lojas de aplicativos do Google e da Apple. Não havia nenhuma política de privacidade que pudéssemos encontrar vinculada em seu site.

Links para informações de privacidade

Este produto atende aos nossos padrões mínimos de segurança? informações

Não

Criptografia

Sim

Senha forte

Não

Conseguiu se inscrever com "1" como uma senha

Atualizações de segurança

Sim

Gerencia vulnerabilidades

Sim

Se você acredita que encontrou uma vulnerabilidade de segurança no software, envie um e-mail para [email protected]

Política de privacidade

Sim

O produto usa inteligência artificial? informações

Não foi possível determinar

Esta inteligência artificial não é confiável?

Não foi possível determinar

Que tipo de decisões a inteligência artificial faz sobre você ou por você?

A empresa é transparente sobre como funciona a inteligência artificial?

Não foi possível determinar

O usuário tem controle sobre os recursos da inteligência artificial?

Não foi possível determinar


Novidades

The data flows: How private are popular period tracker apps?
Surfshark
Nobody really wants to keep track of their periods in their minds or a wall calendar, which makes period trackers really popular. But are they tracking more than menstrual cycles? To find that out, we took a look at 20 period tracking apps popular in the US and compared their data collection practices.
Forget Tracking Your Period—Your Period (App) Is Tracking You
Marie Claire
Many may assume that since these [period-tracking] apps handle sensitive medical information, their intel is safeguarded. Untrue. Only info shared with a health-care provider or a health plan is protected by the Health Insurance Portability and Accountability Act (HIPAA). “Everything I put into my period-tracking app is fair game to be sold,” says Michelle Richardson, director of the Privacy & Data Project at the Center for Democracy & Technology. And marketers and insurance companies are paying big money to use it.
Supreme Court overturns Roe v. Wade: Should you delete your period-tracking app?
TechCrunch
Though popular, and undoubtedly a useful tool for those who want to plan and avoid pregnancy and track signs of menopause, it’s no secret that the objective of many of these apps — of which there are more than a thousand in the app stores alone — go far beyond that of tracking periods. Monitoring menstrual cycles has proven to be a lucrative business for developers, many of which share users’ personal information and activity on the apps with third-party marketers and advertisers.

Comentários

Tem um comentário a fazer? Nos diga.