Invadir aulas na ferramenta virtual Zoom e publicá-las no YouTube tornou-se num passatempo para jovens que entram em várias salas de aula virtuais só para ridicularizar os participantes, desligar e ligar microfones, partilhar desenhos obscenos e expulsar professores. O fenómeno repete-se um pouco por todo o mundo (em inglês, é conhecido por zoom raid ou zoombombing), com vários casos em Portugal a ocorrerem na última semana. Os moderadores do YouTube estão a tentar apagar estes vídeos — muitos exibem caras, nomes e vozes de menores.

A Fenprof já anunciou que se prepara para apresentar uma queixa à Procuradoria-Geral da República para que sejam identificados os responsáveis destes ataques virtuais. 

Contactada pelo PÚBLICO, a equipa da Google (dona do YouTube) sublinha que os vídeos destes ataques violam as regras da plataforma, ainda que não existam regras que visem explicitamente o fenómeno do zoombombing. “Nós temos regras rígidas que proíbem conteúdo que contém assédio, discurso de ódio e sexualização indesejada, e rapidamente removemos [conteúdos] quando são denunciados pelos nossos utilizadores”, explicou Alex Joseph, porta-voz do YouTube.

Professores, pais ou encarregados de educação de crianças que sejam vítimas em vídeos do género devem contactar a plataforma. “Na eventualidade de alguém sentir que teve a sua privacidade violada, podem preencher uma queixa e nós vamos rever e remover qualquer conteúdo contra as nossas regras”, acrescentou Joseph. Para fazer uma queixa relativa a um vídeo, deve carregar-se nos três pontos no canto inferior direito dos vídeos e escolher “denunciar”.

Nas últimas 24 horas, o YouTube apagou pelo menos cinco vídeos do género que foram enviados pelo PÚBLICO. Alguns dos desenhos e imagens partilhadas pelos atacantes iam contra as regras de “nudez ou conteúdo de natureza sexual” da plataforma. Mas entretanto surgiram outros. Muitos dos ataques resultam de sessões mal configuradas e há alunos que partilham deliberadamente as credenciais de acesso às aulas nas redes sociais para que sejam invadidas. Alguns recebem dinheiro em troca das credenciais. 

A Comissão Nacional de Protecção de Dados (CNPD) diz que é urgente que as escolas definam regras contra este tipo de comportamento.

“As escolas têm de criar regulamentos com regras e consequências claras”, disse ao PÚBLICO Isabel Cruz, porta-voz da CNPD, questionada sobre os problemas. A organização lembra que se “deve optar por tecnologias que impliquem a menor exposição”, sendo que nem sempre é necessário que a câmara dos mais novos esteja ligada durante as aulas. A recomendação faz parte de um conjunto de recomendações publicadas na semana passada pela CNPD.

Ao PÚBLICO, o Ministério da Educação reitera a “importância de alertar os alunos para a não partilha de passwords”, lembrando que foram disponibilizadas orientações às escolas sobre as plataformas e que Direcção-Geral da Educação (DGE) e a Universidade Aberta estão a disponibilizar acções de formação para a docência digital até ao dia 5 de Maio. Já há 750 agrupamentos de escolas inscritos, com vagas para os directores e dois professores de cada escola.

Fenprof: “Não há condições”

A Federação Nacional de Professores (Fenprof) insiste que cabe ao Ministério da Educação garantir a utilização segura de plataformas de reunião online, ou então apresentar alternativas à sua utilização.

“Têm sido dias muito complicados, com casos de problemas que implicam a violação do direito à imagem e a utilização de gravações de professores e crianças para fins não lícitos”, partilha com o PÚBLICO Mário Nogueira, secretário-geral da Fenprof. “Já nos chegaram vários casos do género, tanto de professores como de encarregados de educação que não querem a imagem dos filhos exposta.”

Foto

Questionado sobre o facto de estes problemas surgirem em parte devido a aulas virtuais mal configuradas, Nogueira frisou que os professores não tiveram tempo de aprender a trabalhar com estas ferramentas. “Um professor que trabalha com dezenas de alunos, está a tentar que todos tenham acesso a um computador para trabalhar, tem os filhos em casa e está sobrecarregado de trabalho, não vai ter a capacidade de aprender a programar as configurações de todas as plataformas”, diz Mário Nogueira. “Não são só os intrusos. Também há pais que estão constantemente ao pé dos miúdos, interrompendo as aulas para falar com os professores. E há casas onde a rede da Internet não chega.”

“Não há condições para os alunos conseguirem avançar nos programas”, remata o secretário-geral da Fenprof.

Para muitos, porém, suspender as aulas não é opção. Ariana Cosme, coordenadora do Observatório de Vida nas Escolas (ObVie) da Universidade do Porto, diz ao PÚBLICO que “há situações muito difíceis, mas não é o caos”. Em contacto com dezenas de escolas básicas e secundárias, Cosme fala de várias escolas que estão a coordenar a entrega de equipamento informático das escolas aos alunos que não têm e a trabalhar junto de professores para garantir que as aulas são preparadas da forma correcta. 

“Claro que é o que é notícia é o youtuber que entrou em algumas aulas, mas há mais do que isso”, nota Ariana Cosme. “Não me parece nada prudente suspender a vida e a aprendizagem de uma criança durante seis meses. Quem ficará privado de desafios intelectuais e apoio, neste caso, são as crianças de escolas mais carenciadas.”

A coordenadora do ObVie acrescenta que é um “equívoco imaginar um arranque perfeito”, lembrando que muitas crianças têm de partilhar computadores com pais e irmãos, ou vivem em zonas onde a Internet não chega. Segundo dados de Novembro de 2019 do INE, 19,1% dos agregados familiares em Portugal ainda não têm acesso à Internet em casa. 

“É preciso serenidade. As crianças e jovens ainda têm anos para aprender pela frente”, reforçou Cosme, notando que “os pais têm de responsabilizar os filhos por mau comportamento que identifiquem online”.

"Não se reflecte sobre cibersegurança"

Para os profissionais de cibersegurança, a situação actual mostra a falta de preparação na área. “O grande problema é que não se reflecte sobre os problemas de cibersegurança, porque achamos que só acontecem mais tarde. A situação actual mostra que não”, disse ao PÚBLICO Carlos Carvalho, director executivo da empresa de cibersegurança Adyta, uma spin-off da universidade do Porto. 

“As pessoas não estavam preparadas para a mudança para o digital, e muitos começaram a utilizar plataformas como o Zoom sem avaliar o potencial risco. Era preciso auditar as plataformas antes de começarem a ser utilizadas, e era preciso dar formação”, explicou Carvalho. “O elemento mais frágil de um sistema de cibersegurança é sempre o utilizador.”

A pandemia da covid-19 levou a um aumento no volume de ataques em todo o mundo, com muitos profissionais a usar redes inseguras e computadores pessoais para trabalhar.

Embora também surjam problemas com outras plataformas de videoconferência, a plataforma Zoom tem sido protagonista de muitos dos casos. Nos EUA, a empresa está a ser processada por um dos accionistas por exagerar o nível de segurança e privacidade, omitir vulnerabilidades no sistema de encriptação da app e partilhar dados dos utilizadores com terceiros. 

A empresa já corrigiu vários dos problemas identificados e está actualmente a reforçar o seu sistema de encriptação, mas entretanto já perdeu vários clientes institucionais de peso. A Space X e a Tesla (ambas empresas de Elon Musk), a NASA e o Departamento de Educação de Nova Iorque estão entre as outras organizações que baniram o uso da aplicação. 

A Google, que actualmente está a tentar restringir vídeos de ataques ao Zoom da sua plataforma de vídeos, também proibiu os seus trabalhadores de instalarem aquele serviço nos computadores da empresa. “Não respeita as normas de segurança para aplicações usadas pelos nossos trabalhadores”, explica um porta-voz da Google, notando, no entanto, que “trabalhadores que estejam a usar o Zoom para falar com amigos e famílias podem continuar a fazê-lo através do site ou dos seus telemóveis.”

Em Portugal, Sérgio Silva, director executivo da CyberS3c, organização dedicada ao ensino da segurança de informação, nota que se podia ter optado por “desenvolver plataformas próprias, ao utilizar os servidores do Ministério da Educação” e ferramentas em código aberto. “Foi tudo feito em cima do joelho. Os professores precisavam de cursos online, e deviam ter sido discutidas várias opções de plataformas. Nunca podemos garantir a segurança em plataformas externas”, diz Sérgio Silva. “Todos os sistemas são permeáveis a ataque. Seja o Zoom, o WhatsApp, o Messenger ou o Gmail. É preciso ensinar as pessoas a saber utilizá-las, com menos risco e sem transmitir informação pessoal.”