Adicionar nomes de usuário a um aplicativo de mensagens pode parecer um recurso padrão, mas para o Signal, esses identificadores eram um anátema para sua missão de total privacidade e segurança – até agora. A próxima versão 7.0 adiciona nomes de usuáriomas a presidente da empresa, Meredith Whittaker, explicou que esta não foi uma decisão tão simples quanto pode parecer.
O novo recurso parece simples: você registra um nome de usuário e ele aparece no lugar do seu número de telefone. Mas por que fazer isso quando todos já têm nomes de contato e o Signal é totalmente privado?
Em uma entrevista no palco do StrictlyVC LAWhittaker explicou os preparativos e as complicações que acompanharam o que eles acreditam ser uma nova proteção crucial.
“Deixe-me começar explicando isso com um exemplo. Recentemente, na Índia, tornou-se obrigatório, para obter um cartão SIM, submeter-se a uma varredura biométrica de reconhecimento facial. Isso não está acontecendo apenas na Índia; estamos vendo várias jurisdições onde, para obter um número de telefone, é necessário fornecer cada vez mais informações pessoais. Alguns, em alguns lugares como Taiwan, estão ligados a bases de dados de identificação do governo que muitas vezes são violadas e causam muitos problemas”, disse ela.
Isso não é tanto um problema nos EUA, onde existem muitos gravadores e SIMs, embora dados privados também estejam disponíveis em mercados privados. Mas em todo o mundo, esta tendência está a acelerar, disse ela:
“Um pedido que recebíamos frequentemente de jornalistas em zonas de conflito e de defensores dos direitos humanos era do tipo: Ei, adoramos, mas o número de telefone é um verdadeiro problema para nós. Precisamos ser capazes de falar com as pessoas sem compartilhar essas informações. Precisamos estar em grupos de estranhos onde não tenhamos medo de que eles possam estragar isso. E precisamos ser capazes de iniciar conversas com outras pessoas sem compartilhar nosso número de telefone, porque, novamente, isso é minha biometria, isso é todo o resto, e isso pode vazar uma quantidade significativa de informações.”
Essencialmente, a dependência obstinada da Signal em um identificador durável e cada vez mais não privado, os números de telefone, estava deixando de ser uma escolha legítima de produto para se tornar uma séria ameaça a um número significativo de usuários. Eles decidiram que precisavam adicionar uma camada de ofuscação opcional sem afetar negativamente a usabilidade ou a segurança.
“Então basicamente viramos nossa arquitetura do avesso para suportar isso, e para apoiá-lo de uma forma que me deixa muito orgulhoso”, disse Whittaker.
A decisão decisiva foi implementar nomes de usuários sem sobrecarregar o Signal com novas obrigações de moderação em grande escala.
“Como Signal, não queremos assumir a responsabilidade pelo conteúdo – não estamos entrando no negócio de adjudicação de conteúdo. Mas é claro que com nomes de usuário, tradicionalmente, você cria um novo namespace, certo? Você cria algo que, na verdade, precisa monitorar, talvez policiar, talvez censurar.”
É um problema que organizações muito maiores têm dificuldade em resolver, já que milhões ou bilhões de usuários se registram e alteram nomes que podem ser violações de regras – um nome é apenas uma sequência curta e pode ser tão facilmente “RainbowBubbles” quanto “ Mate todos_[insert slur here].” Falsificação de identidade, golpes e todos os tipos de problemas são igualmente possíveis nos campos de nome de usuário e em postagens ou campos de perfil.
A solução da Signal para isso é, basicamente, eliminar as formas como esses métodos causam danos em grande escala, em vez de tentar evitá-los completamente.
“Fizemos o que eu diria que é uma espécie de segurança desde o projeto que nos permitiu permanecer muito fiéis aos nossos princípios, ou seja, simplesmente não assumimos esse trabalho”, explicou Whittaker. Mas isto não se trata apenas de uma abdicação total do seu papel como proprietários da plataforma.
“Não estamos dispostos a, você sabe, criar uma lista de bloqueios ou outras coisas para determinar o que é e o que não é apropriado. Mas também não estamos dispostos a criar novas superfícies para danos, certo? Tipo, reconhecemos que isso pode ser um problema real. Então o que nós vamos fazer? Vamos projetá-lo de forma que minimizemos ou, acredito, eliminemos o espaço prejudicial”, ela continuou.
“O nome de usuário não é um identificador. Não é mostrado dentro do aplicativo; não é algo para o qual temos um diretório. Mas ele substitui o número de telefone quando você inicia o contato.” (O Signal anexa números aos nomes de usuário escolhidos para garantir que sejam exclusivos.)
Em outras palavras, o sistema é muito mais limitado do que os perfis públicos ou spam que você pode receber em outras plataformas que possuem nomes de usuário como identificadores canônicos de usuários.
Em vez disso, o nome de usuário fornece uma maneira de identificar e ocultar simultaneamente; alguém que o solicita obtém todos os benefícios da exigência de número de telefone do Signal, mas poucos dos riscos de exploração de nome de usuário. Você só obtém o nome de usuário se solicitá-lo, o que transfere a responsabilidade para os usuários sem comprometer suas necessidades ou capacidade discriminatória.
“Acho que existe realmente uma espécie de paradigma em torno do design seguro com integridade que estamos avançando à medida que adicionamos uma camada essencial de privacidade ao aplicativo”, concluiu ela.
O novo recurso estará disponível no cliente Signal 7.0. “E se você for um usuário beta, pode entrar e reivindicar seu nome de usuário agora”, acrescentou Whittaker. “Se você é sobre isso.”
E você pode assistir a entrevista completa abaixo: