Usando Discord de Maneira Privada
O Discord é uma plataforma popular de comunicação instantânea, amplamente utilizada para bate-papo por voz, mensagens de texto e compartilhamento de arquivos. Disponível para Windows, macOS, Linux, Android e iOS, ele se consolidou como uma ferramenta essencial para gamers, comunidades online e até mesmo ambientes corporativos. No entanto, seu modelo centralizado e suas práticas de coleta de dados levantam sérias preocupações sobre a privacidade e segurança dos usuários.
BEHIND SECURITY
Behind Security is an online platform dedicated to providing informative articles on cybersecurity, privacy, and programming.
O que o Discord sabe sobre você?
O Discord não esconde que coleta uma quantidade significativa de informações pessoais. De acordo com sua política de privacidade, a plataforma armazena:
O endereço IP é um identificador único atribuído à conexão de um dispositivo à internet, permitindo que sites e plataformas rastreiem a localização aproximada do usuário, incluindo país, cidade e provedor de internet. Essa informação pode ser utilizada para monitoramento de atividades online, criação de perfis de comportamento e até mesmo para restringir acessos com base na geolocalização.
Um dos principais problemas da coleta de IPs está na possibilidade de rastreamento e identificação indireta dos usuários. Embora um endereço IP, por si só, não revele a identidade de uma pessoa, ele pode ser cruzado com outros dados, como cookies e impressões digitais do navegador, permitindo a criação de um perfil detalhado do usuário ao longo do tempo. Essa prática é frequentemente explorada por empresas de publicidade, plataformas de análise de tráfego e até governos interessados em monitorar a navegação de indivíduos.
O Discord utiliza identificadores persistentes para vincular contas a dispositivos específicos, permitindo que a plataforma reconheça um usuário mesmo que ele altere seu IP, use VPNs ou limpe cookies. Isso significa que, independentemente das medidas básicas de anonimização adotadas, o Discord ainda pode rastrear um usuário em diferentes redes e sessões.
Muitas pessoas reutilizam o mesmo endereço de e-mail em diferentes plataformas, permitindo que empresas cruzem dados e construam perfis detalhados de comportamento online. Se um usuário usa o mesmo e-mail no Discord, em redes sociais e em outros serviços, fica mais fácil para a plataforma (ou terceiros) associar identidades digitais, mesmo que o usuário tente permanecer anônimo.
O Discord mantém um registro permanente de todas as conversas trocadas na plataforma, incluindo mensagens privadas (DMs), chats em servidores e interações em grupos. Isso significa que tudo o que um usuário escreve pode ser acessado e analisado, muitas vezes sem seu conhecimento ou consentimento explícito.
A ausência de criptografia de ponta a ponta agrava essa situação. Diferente de plataformas como Signal, onde apenas os participantes da conversa podem ler as mensagens, o Discord armazena todos os textos em seus servidores de forma acessível à empresa. Isso significa que, teoricamente, qualquer mensagem pode ser analisada, armazenada indefinidamente e até usada para fins desconhecidos. Essa prática compromete gravemente a privacidade dos usuários, principalmente aqueles que participam de discussões sensíveis ou comunidades vulneráveis.
Como o Discord mantém um histórico completo de todas as interações, ele pode construir um perfil detalhado de cada usuário, registrando seus interesses, opiniões, relações sociais e até mesmo seu comportamento ao longo do tempo. Além disso, essa informação pode ser utilizada para moderação automatizada, segmentação de anúncios e até mesmo compartilhada com terceiros.
Existe a possibilidade de exposição desse histórico em caso de vazamento de dados ou acesso indevido. Se um servidor do Discord for comprometido, mensagens privadas e conversas sensíveis podem ser expostas, colocando usuários em risco de doxxing, extorsão ou assédio. Além disso, como as mensagens são armazenadas nos servidores da empresa em texto simples, qualquer pessoa com acesso privilegiado, seja um funcionário do Discord ou um governo que exija esses dados, pode visualizar conversas privadas sem que o usuário tenha controle sobre isso.
Além disso, a retenção de mensagens também cria problemas em termos de autonomia do usuário. Mesmo que alguém apague uma mensagem ou feche sua conta, não há garantias de que o Discord realmente remove esses dados de seus servidores. Como a plataforma não oferece um recurso de mensagens autodestrutivas ou exclusão automática de histórico, os usuários não têm controle sobre o que permanece armazenado e por quanto tempo.
Qualquer imagem, vídeo, áudio ou arquivo compartilhado na plataforma é armazenado indefinidamente nos servidores do Discord, mesmo que o usuário exclua a mensagem que continha a mídia. Isso significa que, uma vez que um arquivo foi enviado, ele pode continuar acessível por meio do link direto do CDN (Content Delivery Network) do Discord, mesmo após a exclusão da mensagem original.
No momento em que um arquivo é enviado, ele se torna parte do banco de dados da empresa, e o usuário não tem garantias claras de que ele será realmente apagado ao excluir a mensagem. Além disso, se um usuário compartilha uma foto ou vídeo pessoal e depois se arrepende, a remoção do conteúdo não impede que outras pessoas que tenham o link direto continuem acessando o arquivo, tornando esse tipo de dado particularmente vulnerável ao compartilhamento não autorizado.
O Discord pode utilizar metadados das imagens, como localização embutida (EXIF), dispositivo utilizado para capturar a foto e outras informações técnicas, para associar arquivos a um usuário específico. Além disso, a empresa pode empregar algoritmos para analisar conteúdos de imagens e vídeos, seja para moderação automatizada ou para segmentação de usuários com base no tipo de conteúdo que compartilham. Isso gera uma exposição adicional à privacidade dos usuários, que podem ter suas mídias analisadas sem seu conhecimento.
O Discord processa as chamadas de voz em seus próprios servidores. Isso significa que, tecnicamente, a empresa tem acesso ao conteúdo das conversas, podendo analisá-las para fins de moderação, coleta de dados ou até mesmo compartilhamento com terceiros, caso necessário. Embora o Discord afirme não gravar chamadas, essa garantia depende unicamente da política da empresa, que pode ser alterada a qualquer momento sem o conhecimento dos usuários.
Quando um usuário conecta sua conta de redes sociais ao Discord, ele está permitindo que a plataforma acesse informações pessoais dessas redes, como nome, foto de perfil, e até histórico de interações, dependendo das permissões concedidas. Isso cria uma ponte entre o comportamento e as atividades realizadas no Discord e na rede social, ampliando o potencial de rastreamento e correlação de dados entre diferentes plataformas.
O Discord pode obter informações detalhadas, como amigos ou seguidores em plataformas externas, histórico de postagens, interações, e até mesmo dados de localização, dependendo das permissões de acesso. Esses dados podem ser usados para personalizar a experiência do usuário dentro do Discord, sugerindo novos servidores, amigos ou conteúdos com base em sua atividade nas redes sociais. No entanto, a coleta dessas informações também significa que o Discord, assim como qualquer outro serviço que tenha acesso a essas integrações, pode criar perfis mais completos dos usuários, cruzando dados entre plataformas sem que o usuário tenha pleno controle sobre o que está sendo compartilhado.
Além disso, há evidências de que o Discord monitora os programas abertos no computador do usuário, o que permite à plataforma entender seus hábitos de uso e comportamento online. Esse tipo de rastreamento, semelhante ao utilizado por grandes empresas de publicidade digital, é um claro indicador de que estamos lidando com uma empresa predatória.
Somado a toda a coleta de dados que eles admitem publicamente, o código-fonte do Discord é fechado, ou seja, não há a possibilidade de auditoria independente por desenvolvedores e especialistas de segurança. A falta de transparência preocupa, pois impede com que os usuários saibam exatamente o que está acontecendo nos bastidores da plataforma. Temos que confiar nas promessas do time jurídico de uma big-tech. Parece promissor, não é verdade?
O que você pode fazer para minimizar isso?
Não me leve a mal, mas o Discord é um pesadelo de privacidade. Contudo, levando em consideração o tamanho da plataforma, e as oportunidades de conexões com pessoas da área de segurança, eu me encontrei em uma encruzilhada: faço como sempre e me livro do que não me respeita, ou restrinjo o que a plataforma pode saber sobre mim e aproveito do serviço? Bem, se estou aqui agora escrevendo essa seção do artigo, é porque escolhi a segunda opção.
É importante lembrar que privacidade é diferente de anonimato. O que busco, descrevendo as etapas a seguir, é um caminho em direção à privacidade, e não ao anonimato. Em resumo, a check-list para criar a conta é a seguinte:
- Use um serviço de VPN de uma empresa confiável;
- Use o aplicativo do Discord na web em um navegador seguro que enfatize a privacidade;
- Use um alias de e-mail único para o Discord;
- Caso precise, use um número virtual para receber SMS de verificação.
Vamos aos detalhes.
Usando navegador seguro e privado
Você nunca deve instalar o aplicativo do Discord em nenhum dos seus dispositivos. É muito mais seguro e privado usar a aplicação na web ao invés de instalar o aplicativo. Isso se dá ao fato de que quando você instala o aplicativo, você concede ao Discord acesso ao seu sistema, o que pode não só abrir brechas na sua segurança, já que pode haver vulnerabilidades no software, mas também facilita a coleta de dados por parte do Discord.
Aqui, a recomendação é o Mullvad Browser.
Por padrão, o Mullvad Browser vem com várias configurações pré-aplicadas que o transformam realmente em uma fortaleza de navegador. É fato de que, quanto mais privacidade, menos conveniência, e aqui não é diferente. O ideal é não mudar nenhuma configuração do Mullvad Browser, dessa forma, a sua impressão digital do navegador (como os sites veem o seu navegador) é igual a de outros milhares de usuários que usam o navegador, o que torna você uma sombra na multidão.
Sempre que você fechar o Mullvad Browser, já que ele vem pré-configurado no modo efêmero, todo o seu histórico de navegação, cookies e cache serão limpos, isso significa que você vai ter que conectar novamente nas suas contas sempre que abrir o navegador. Isso é interessante, porque elimina a preocupação com cookies, já que toda a navegação é efêmera de qualquer forma.
Devido às configurações de privacidade relacionadas ao WebRTC, você não vai poder se conectar em canais de voz usando o Mullvad Browser, mas vai poder trocar mensagens numa boa. Caso precise mesmo usar canais de voz no Discord, talvez seja interessante você usar a aplicação web em outro navegador, nesse caso, o Brave.
Deixe o seu navegador preparado, vamos precisar dele em breve.
Usando VPN de uma empresa confiável
Na minha postagem Retome o Controle, eu recomendo Mullvad VPN, Proton VPN, e IVPN. Todos os 3 possuem uma boa reputação na comunidade de privacidade.
É necessário que você crie a sua nova conta no Discord usando uma VPN. Isso dificulta razoavelmente a capacidade do Discord de rastrear você, tendo em vista que o endereço de IP que acessa a sua conta será o de um datacenter qualquer em alguma parte do mundo, ao invés de um IP residencial de uma provedora de internet específica que pode ser diretamente ligado a sua pessoa física.
Depois que a conta for criada, lembre-se que de nada vai adiantar se você, em um dia aleatório, acessar a sua conta com o IP da sua provedora de internet. Assuma que o Discord vai ter conhecimento do seu IP real e vai associá-lo a sua conta no instante em que você acessar a conta sem estar conectado na VPN.
Tendo isso em mente, faça a sua conta em algum dos serviços mencionados e comece a usar imediatamente. A Mullvad VPN é paga, assim como a IVPN, e a Proton VPN tem um tier gratuito.
Usando um e-mail alias
O Discord jamais pode conhecer o seu email pessoal. Isso só facilita, e muito, a coleta de dados. O serviço que eu uso para resolver esse problema é o SimpleLogin. Com ele, você pode criar um e-mail aleatório, que encaminha os emails recebidos diretamente para o seu e-mail real. Assim, você pode receber o código de verificação do Discord, e, como esse e-mail não é efêmero, você não arrisca perder acesso a sua conta no aplicativo.
Usando um número virtual
Tudo isso parece bem suspeito para o Discord, navegador seguro, VPN, e-mail alias… Pode ser que eles peçam para que você prove que é um humano, apontando o seu número de telefone para receber um SMS. Não se preocupe. Pela minha experiência, é possível usar um número virtual para receber o código. Sem dúvidas é bem melhor do que associar o seu número de telefone pessoal a sua conta, levando em consideração todo o esforço para que ela seja criada de uma forma privada, concorda comigo?
O serviço que eu uso para receber códigos de verificação por SMS é o SMSPool. Eu deposito alguns dólares em Monero e em poucos minutos posso receber os códigos de SMS para verificar a minha conta, não só no Discord, mas em outras plataformas também.
Explicar como o SMSPool funciona está fora do escopo desse artigo, mas o serviço é bem direto ao ponto. Eu recomendo dar uma olhada.
Tudo pronto para criar a conta!
A partir desse ponto, você (eu espero) já está conectado em seu serviço de VPN que respeita a sua privacidade, está munido de proteção com seu Mullvad Browser, e com o seu alias de email preparado para receber o email de verificação do Discord. Basta ir até o aplicativo web do Discord em discord.com/app no seu Mullvad Browser (ou Brave Browser) e fazer a sua conta.
É tudo uma questão de hábitos
Com a sua conta criada, pode ser animador pensar em divulgar todas suas informações pessoais nos canais de texto do servidor do Goularte, ou enviar fotos do seu gato entupidas de metadados que vazam até qual é o modelo da sua câmera, ou, até mesmo, entrar em um canal de voz e passar horas trocando aquela boa ideia com a sua web-namorada favorita. Contudo, é de se refletir: cada mensagem ou mídia enviada, cada segundo que se passa em um canal de voz, cada clique para verificar pela quarta vez o perfil daquela certa pessoa, tudo pode, e possivelmente está sendo monitorado.
Alguns hábitos interessantes para se ter enquanto usa o Discord:
- Assim como tudo na internet, assuma que TODAS as interações feitas na plataforma são PERMANENTES, tenha muito cuidado com o conteúdo das mensagens que você envia. Nenhuma informação sensível ou comprometedora de qualquer natureza, desde informações pessoais a conteúdos íntimos ou coisas do gênero, deve ser compartilhada dentro dos cercos do Discord. Busque alternativas como o Signal.
- Por mais que seja tentador, jamais conecte nenhuma conta sua em sites de terceiros à sua conta no Discord. Isso não só aumenta capacidade deles de coleta de dados, mas também mina a sua privacidade por correlação de contas.
- No aplicativo, na parte de configurações de privacidade e como lidam com dados, desative todas as opções de coleta de dados e “melhorias de produto”.