Porque é que o login da Malik na Microsoft de repente não funcionou.

Grandes empresas tecnológicas como a Microsoft e a Google procuram conteúdos criminais. Isto pode levar a que o seu login seja desactivado.

2023-02-16
Beware: If you send nude pictures via Microsoft, you might get locked out of your account.
Se o seu login na Microsoft já não funcionar, os scans automáticos podem ser a razão. Isto é exactamente o que aconteceu com Malik. De repente, ele foi cortado da sua conta Microsoft - e-mails, contactos e calendários no Outlook.com - tudo desapareceu sem qualquer aviso prévio.

tl;dr: Não confie os seus dados à Big Tech. Escolha serviços que codifiquem os seus dados e respeitem a sua privacidade, como Tutanota. 😉

Login Microsoft bloqueado

Como noticiado pelo site técnico alemão Heise, Malik foi subitamente incapaz de entrar na sua conta Microsoft, sem saber porque é que isso poderia ter acontecido.

O que foi pior: Como recomendado pela Microsoft, ele tinha encriptado todos os seus dados com Bitlocker e armazenado a chave de encriptação não localmente, mas com a Microsoft. De acordo com a Microsoft, esta era a melhor opção para aumentar a sua segurança. Mas agora esta decisão deixou-o com acesso zero aos seus dados: Como ele não entrou na sua conta Microsoft, também não teve acesso à chave necessária para decifrar os seus dados.

Outros logins também desapareceram porque Malik já não tinha acesso às suas chaves OTP de segundo factor, ele gerou com o Microsoft Authenticator.

Grandes varreduras técnicas e automatizadas

O problema foi causado por um scan automático. Uma que procurava conteúdo criminoso e assinalou a conta da Malik na Microsoft por abuso. Tais incidentes não são invulgares.

Um caso semelhante aconteceu a um utilizador do Gmail cuja conta Google foi bloqueada por enviar fotografias nuas do seu filho ao seu médico para diagnóstico remoto durante o bloqueio do Covid 19: e-mail, calendário, fotos, logins - tudo desapareceu de uma só vez.

Grandes empresas tecnológicas como a Microsoft e a Google tornaram-se conhecidas por bloquearem contas de utilizadores sem aviso prévio. Utilizam scans automáticos para assinalar conteúdos criminosos, tais como fotografias de crianças nuas que poderiam ser interpretadas como material de abuso sexual de crianças.

Para prevenir ou detectar o abuso sexual de crianças, muitas plataformas digitalizam o conteúdo dos seus utilizadores, tais como a Microsoft, Google e Meta. Utilizam algoritmos e máquinas de aprendizagem para encontrar imagens já conhecidas e também detectar novas imagens. As empresas Big Tech enviam as suas descobertas para o National Center for Missing and Exploited Children (NCMEC), onde são comparadas com uma base de dados. O NCMEC encaminha os casos suspeitos para as agências de aplicação da lei, também internacionalmente.

Contudo, os scans automatizados nem sempre são correctos e, portanto, também bloqueiam os logins à Microsoft e ao Google por acidente.

A principal questão para as pessoas afectadas é que centralizam toda a sua identidade digital com um serviço online - se a conta se perder, a identidade também se perde.

Este, pelo menos, foi o caso de Malik, como relata a Heise:

"Os dados na OneDrive ainda lá estão, mas Malik, a quem não chamaremos pelo seu verdadeiro nome aqui a seu pedido, já não pode aceder a eles. Assim, fotos de 13 anos, todo o trabalho e pesquisa para os seus estudos de informática em curso, documentos para o seu trabalho como assistente estudantil na indústria das TI e documentos sensíveis armazenados no "cofre seguro" da OneDrive são perdidos, pelo menos por agora. A Microsoft também não deixa Malik entrar na biblioteca da Xbox, e ele pode esquecer os seus jogos por mais de 1000 euros. Já para não falar da licença de 400 euros da família Office 365, que agora é inútil".

"Pouco antes do bloco, Malik classificou a sua colecção de fotografias na OneDrive através da conta da Microsoft, caso contrário, nada de especial aconteceu. Mas a Microsoft justifica o bloco da seguinte forma: "Detectámos actividades que violam o nosso acordo de serviço Microsoft". Malik não tem forma de saber que por detrás desta sentença sem sentido está uma suspeita de distribuição de pornografia infantil. Ele está a perder".

Incidentes semelhantes tornaram-se conhecidos não só da Microsoft, mas também do Google, da Amazon ou da Apple. O que é frustrante para as pessoas quando a sua conta fica bloqueada é o complexo processo de recuperação de acesso.

Estas empresas Big Tech tornam muito difícil para os clientes contactá-los. E mesmo que consigam passar, pode ser um verdadeiro incómodo - se não impossível - convencê-los de que não fizeram nada de ilegal e que devem desbloquear novamente a sua conta.

No relatório do New York Times sobre uma conta bloqueada no Google, a professora de direito Sra. Hessick especula:

"Da perspectiva do Google, é mais fácil simplesmente negar a estas pessoas o uso dos seus serviços. Caso contrário, a empresa teria de resolver questões mais difíceis sobre "o que é comportamento apropriado com crianças e depois o que é apropriado para fotografar ou não".

Neste caso, foi uma decisão particularmente difícil da Google, uma vez que a conta permaneceu bloqueada depois de o homem cuja conta foi bloqueada ter provado à Google que ele estava inocente. Tinha mesmo um relatório policial afirmando que as autoridades decidiram que o envio da fotografia nua do seu filho para o seu médico "não constituía abuso ou exploração de crianças".

Independentemente disso, a Google não desbloqueou a conta. Depois foi definitivamente apagada devido à inactividade.

O processo da Microsoft, Google e outros para bloquear logins de utilizadores é completamente legal. Embora o bloqueio de uma conta só deva acontecer por uma "razão importante", por exemplo a distribuição de pornografia infantil, o bloqueio pode então ter lugar imediata e permanentemente. Uma suspeita justificada pelo serviço online é absolutamente suficiente - mesmo que a suspeita se revele ser falsa.

No caso de Malik, o seu login Microsoft foi bloqueado por suspeita de armazenamento de material de pornografia infantil no OneDrive da Microsoft. Segundo Malik, as imagens eram inofensivas, retratando o seu sobrinho brincando nu na praia.

As fotografias, tiradas no seu smartphone, tinham sido carregadas na OneDrive onde o scan CSAM da Misrosoft as assinalou como conteúdo potencialmente criminoso.

Quando Malik contactou o apoio da Microsoft, explicando o problema, simplesmente recebeu uma resposta que dizia "A Microsoft desactivou o acesso à conta devido a uma grave violação do Acordo de Serviços da Microsoft".

Disputa contra o bloqueio

No artigo Heise, os advogados Sebastian Laoutoumai e Oliver Löffel recomendam que qualquer pessoa que tenha sido bloqueada do seu login ao seu serviço online sem motivo deve imediatamente contestar o bloqueio e emitir um aviso a esse serviço. Se o serviço "não responder ou não responder como solicitado", pode-se requerer uma injunção contra o bloqueio da conta na Alemanha "Isto proíbe o serviço online de bloquear a conta - por determinadas razões ou sem dar razões - sob ameaça de uma multa de até 250.000 euros".

O que aconteceu à Malik?

O caso de Malik foi investigado pela polícia que retirou as acusações de partilha de imagens de pornografia infantil.

No entanto, a sua conta Microsoft permaneceu bloqueada.

Keeping all your data in Microsoft or Google is dangerous: What if you lose access to your login?

Mantenha os seus dados locais e pague por serviços

Muitos utilizadores do Google relatam como é difícil - ou impossível - obter uma conta para a qual o login é bloqueado desbloqueado novamente(1, 2, 3).

Os dois exemplos aqui descritos por utilizadores da Microsoft e do Google que perdem o acesso ao seu login mostram como é "fácil" para a Big Tech escapar a esta prática de bloqueio de contas baseado em varreduras automáticas. É portanto aconselhável não utilizar a Microsoft ou Google como seu único back-up ou armazenamento original.

Em vez disso, deve manter sempre uma cópia de segurança local de dados valiosos. Também é recomendável pagar por serviços online, uma vez que o apoio directo se limita frequentemente a pagar aos clientes. Se perder as suas credenciais de login, o acesso rápido ao suporte pode ser crucial.