Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Lembram-se de quando em crianças talvez tivessem um brinquedo favorito que sempre vos fazia companhia? — como Christopher Robin, que tinha um Ursinho Pooh — E a vossa imaginação alimentava aventuras infinitas? O que poderia ser mais inocente do que isso? Bem, vou apresentar-vos a minha amiga, Cayla.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla foi eleita o brinquedo do ano em países do mundo inteiro. Está ligada à Internet e utiliza o reconhecimento de voz para responder às perguntas das crianças. Responde como se fosse uma amiga. Mas o poder não está na imaginação da vossa filha. O poder está na empresa que reúne grande quantidade de informações pessoais enquanto a vossa família conversa inocentemente dentro de casa, numa perigosa e falsa sensação de segurança. Este caso fez soar uma campainha de alarme, pois o meu trabalho é defender os direitos do consumidor no meu país. Com milhares de milhões de aparelhos, como carros, medidores de energia e até aspiradores que estarão à disposição "online" em 2020, pensámos que este caso valia a pena de ser investigado mais profundamente. Porque, o que estaria a Cayla a fazer com todas as informações interessantes que estava a aprender? Teria ela outra amiga fiel com quem partilhava essas informações? É mesmo, acertaram. Tinha sim! Para brincar com a Cayla é preciso instalar uma aplicação para ter acesso a todas as suas funcionalidades. Os pais têm que aceitar a alteração dos termos de uso sem aviso prévio. As gravações da criança, dos seus amigos e familiares podem ser utilizadas para propagandas dirigidas. E todas essas informações podem ser partilhadas com terceiros desconhecidos.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
Já chega? Ainda não. Qualquer um com um "smartphone" pode ligar-se a Cayla dentro de uma certa distância. Quando confrontámos a empresa que criou e programou a Cayla, ela publicou uma série de declarações dizendo que só um especialista em TI conseguiria quebrar a segurança. Vamos verificar essa declaração e piratear a Cayla ao vivo? Vamos lá. Cayla tem um dispositivo "bluetooth" que emite um sinal num raio de 18 metros, um pouco menos se houver uma parede pelo meio. Ou seja, eu ou qualquer estranho pode ligar-se à boneca mesmo estando fora do quarto onde está a Cayla e as suas amigas. Para ilustrar isso, eu agora vou ligar a Cayla. Vejamos, um, dois, três. Pronto. Está ligada. Pedi a um amigo para ficar lá fora com o seu "smartphone" e ele já está interligado, e para tornar isto um pouco mais assustador...
(Laughter)
(Risos)
let's see what kids could hear Cayla say in the safety of their room.
vejamos o que as crianças podiam ouvir a Cayla dizer, na segurança do seu quarto.
Man: Hi. My name is Cayla. What is yours?
Olá. Chamo-me Cayla. E tu?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Finn.
Man: Is your mom close by?
A tua mãe está aí?
FM: Uh, no, she's in the store.
FM: Não, foi às compras.
Man: Ah. Do you want to come out and play with me?
Ah. Queres vir cá fora brincar comigo?
FM: That's a great idea.
FM: É uma ótima ideia.
Man: Ah, great.
Perfeito.
FM: I'm going to turn Cayla off now.
FM: Agora vou desligar a Cayla.
(Laughter)
(Risos)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Não precisamos de senha para entrar nem passamos por qualquer tipo de segurança para fazer isto. Publicámos um alerta em 20 países do mundo inteiro denunciando esta significativa falha de segurança e vários outros problemas. E o que aconteceu? Cayla foi proibida na Alemanha, foi retirada da Amazon e do Wal-Mart, e agora está a descansar em paz no Museu de Espionagem em Berlim, na Alemanha.
(Laughter)
(Risos)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Mas a Cayla esteve à venda em lojas do mundo inteiro durante mais de um ano depois da publicação do nosso alerta. Descobrimos que há poucas regras que nos protejam e as que temos não estão a ser devidamente impostas. Precisamos de garantir a segurança e privacidade destes aparelhos antes de eles chegarem ao mercado, pois qual é o sentido de fechar a porta à chave se qualquer um puder entrar através de um dispositivo?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Talvez pensem: "Isso não vai acontecer comigo. "Eu não vou comprar esses aparelhos com falhas de segurança." Mas isso não nos manterá em segurança, porque basta ligarmo-nos à Internet para estarmos numa posição impossível de "É pegar ou largar".
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Vou mostrar. Como muitos de vocês, eu tenho dezenas de aplicações no meu telemóvel. Quando utilizadas devidamente, facilitam muito a nossa vida, tornam-na mais convenientes e até mais saudável. Mas teremos sido iludidos com uma falsa sensação de segurança? Começa simplesmente por clicar numa caixa. Dizemos: "Sim, eu li e aceito as condições". Mas leram mesmo essas condições? Têm a certeza de que elas não pareciam longas demais e o vosso telemóvel estava a ficar sem bateria? E a última vez que tentaram foi impossível percebê-las e precisavam de utilizar o serviço imediatamente? Assim, ficou instituído o desequilíbrio de forças pois concordámos que as nossas informações pessoais sejam reunidas e utilizadas a uma escala que nunca imaginámos.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
É por isso que os meus colegas e eu decidimos ir mais fundo. Decidimos ler as condições das aplicações populares nos telemóveis comuns. Para mostrar ao mundo como é irrealista esperar que os utilizadores leiam essas condições, imprimimo-las. São mais de 900 páginas. No nosso gabinete, lemo-las em voz alta, difundindo a experiência nos nossos "sites" da Internet. Como veem, demorou muito tempo. Levámos 31 horas, 49 minutos e 11 segundos para ler as condições de um telemóvel vulgar. Demorou mais do que uma maratona de filmes da saga Harry Potter e da trilogia de "O Padrinho" juntos.
(Laughter)
(Risos)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
E ler é uma coisa. Mas entender é outra história. Para entender, teríamos demorado muito mais tempo. E esse é um verdadeiro problema, porque as empresas têm alegado durante 20 ou 30 anos contra uma melhor regulamentação da Internet, porque os utilizadores têm aceitado os termos e condições.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Como mostrámos nesta experiência, conseguir uma aceitação consciente, é quase impossível. Vocês acham justo colocar o peso da responsabilidade no utilizador? Eu não acho. Eu acho que devíamos exigir menos "É pegar ou largar", exigir condições que possamos entender antes de concordarmos.
(Applause)
(Aplausos)
Thank you.
Obrigado.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Agora, gostava de contar uma história sobre o amor. Algumas das aplicações mais populares do mundo são aplicações de encontros, uma indústria que hoje vale mais de 3 mil milhões de dólares por ano ou perto disso. É claro que não temos problemas em partilhar pormenores íntimos com a nossa cara metade. Mas quem mais estará a ver, a gravar e a partilhar essas informações enquanto estamos a expor a nu a nossa alma? A minha equipa e eu decidimos investigar. Para entendermos o problema de todos os ângulos e fazermos um trabalho minucioso, percebi que tinha que descarregar uma das aplicações de encontros mais popular do mundo inteiro.
So I went home to my wife ...
Então, fui para casa ter com a minha mulher...
(Laughter)
(Risos)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
com quem casara há pouco tempo. "Não te importas que eu crie um perfil numa aplicação de encontros muito popular "puramente para fins científicos?"
(Laughter)
(Risos)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Aqui está o que encontrámos. Escondida atrás do menu principal havia uma caixa pré-selecionada que garantia o acesso da empresa a todas as minhas fotos no Facebook. No meu caso, eram mais de 2000 fotos, e algumas eram muito pessoais. Para piorar as coisas, ao lermos os termos e condições, descobrimos o seguinte. Vou precisar dos óculos de leitura para ler isto. E vou ler porque é complicado. Ok.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Ao publicar o conteúdo" — conteúdo refere-se às fotos, à conversa e a outras interações no serviço de encontros — "como fazendo parte do serviço, "você garante automaticamente à empresa, "às suas associadas, licenciadas e sucessoras "de forma irrevogável" — o que significa que já não podemos mudar de opinião — "e perpétua" — ou seja, para sempre — "o direito e a licença não-exclusiva, transmissível, paga, "universal, para usar, copiar armazenar, executar, "exibir, reproduzir, gravar, "tocar, adaptar, modificar e distribuir esse conteúdo, "preparar derivações do conteúdo, "ou incorporá-lo noutros trabalhos "permite e autoriza sublicenças de tudo o que foi atrás exposto em quaisquer "media" "conhecidos ou que sejam criados posteriormente."
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Isto significa que todo o histórico do encontro e tudo com ele relacionado pode ser utilizado para qualquer fim e para sempre. Imaginem os vossos filhos a ver as vossas fotos picantes de um encontro numa propagando sobre controlo de natalidade daqui a 20 anos.
But seriously, though --
Mas agora a sério...
(Laughter)
(Risos)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
o que é que estas práticas comerciais significam para vocês? Por exemplo, perdas financeiras: com base no nosso histórico de navegação, os algoritmos podem decidir se podemos pagar uma hipoteca ou não. Manipulação subconsciente: as empresas podem analisar as emoções, a partir das nossas fotos e conversas, e atacarem-nos com anúncios quando estivermos mais vulneráveis. Discriminação: uma aplicação de exercícios físicos pode vender os nossos dados a uma companhia de seguros impedindo que consigamos cobertura no futuro. Tudo isso está a acontecer hoje no mundo.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
É claro que nem todos os usos destas informações são malévolos. Alguns só apresentam falhas ou precisam de mais trabalho e outros são realmente bons. Mas também há boas notícias. As empresas de encontros alteraram as suas políticas de forma global depois de formalizarmos legalmente as nossas reclamações. Mas as empresas como a minha que lutam pelos direitos do consumidor, não podem estar em toda a parte. Nem os consumidores podem corrigir isto por eles próprios, porque, se soubermos que algo que dissemos de forma inocente voltará para nos perseguir, vamos deixar de falar. Se soubermos que estamos a ser vistos e controlados, vamos mudar o nosso comportamento. E se não pudermos controlar quem tem os nossos dados e como eles são utilizados perdemos o controlo da nossa vida.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
As histórias que contei hoje não são exemplos aleatórios. Estão por toda a parte, e são um sinal de que as coisas têm de mudar. Como podemos conseguir essa mudança? As empresas precisam de perceber que, ao darem prioridade à privacidade e à segurança, podem gerar a confiança e a lealdade nos utilizadores. Os governos precisam de criar uma Internet mais segura garantindo que as leis sejam cumpridas e as regras sejam atualizadas. E nós, os cidadãos? Podemos usar a nossa voz para lembrar ao mundo que a tecnologia só pode verdadeiramente beneficiar a sociedade se respeitar os direitos básicos.
Thank you so much.
Muito obrigado.
(Applause)
(Aplausos)