É conveniente, porreiro, gratuito e dá estilo. Quase todos os meus colegas o usam. De qualquer sítio onde tenham acesso à Internet – e hoje em dia é quase qualquer sítio – podem consultar todas as mensagens que receberam e enviaram, e todos os anexos, sem limite de espaço.

O problema é que qualquer pessoa com a password certa pode fazer o mesmo. O francês “Hacker Croll”, por exemplo, obteve acesso à conta de email de um empregado do Twitter indicando ao Gmail que se tinha esquecido da password. O Gmail enviou uma mensagem para um endereço secundário que o dono da conta tinha indicado. Mas como este era um endereço desactivado no Hotmail, o hacker pode criar novamente essa conta e obter o link para alterar a password da conta de Gmail da vítima.

O problema depois foi descobrir a password original, porque tendo a password alterada pelo hacker o dono ia descobrir que a sua conta tinha sido “raptada” assim que não conseguisse ler o email. Mas com acesso a todos os emails guardados o hacker descobriu várias mensagens de outros serviços que enviam a password ao utilizador. E era sempre a mesma. Arriscando, mudou a password da conta no Gmail para essa. E funcionou. O dono nem desconfiou. Puxando o fio à meada, a partir da conta de Gmail de um empregado do Twitter o hacker obteve centenas de documentos confidenciais da empresa (1).

O caso do Twitter revela o problema de ter tudo na Internet, acessível de qualquer sítio e protegido apenas por uma password. A empresa também usava vários serviços de colaboração e partilha de documentos que eram vulneráveis a qualquer pessoa que penetrasse a rede de confiança dos vários colaboradores. Ter todas as minhas mensagens acessíveis a todos é um risco grande e, além disso, é provável que eu dure mais que o Gmail. A Google não deve falir tão cedo, mas é raro uma empresa durar muitas décadas e nada garante que se mantenha proprietária do Gmail.

Um exemplo recente foi a falência da Clear, que facilitava a passagem pela segurança nos aeroportos. Os clientes forneciam à empresa vários dados pessoais, incluindo fotografia e impressões digitais, e a empresa disponibilizava esta informação aos serviços de segurança dos aeroportos nos EUA. Só que agora que a Clear fechou (2) não se sabe ao certo o que acontecerá a essa informação. Se um dia o Gmail for vendido ou a Google concluir que não dá negócio, o destino das muitas caixas de correio também será incerto.

Eu uso o email da Netcabo. É rudimentar, tem pouca capacidade e não é especialmente seguro. Mas como tiro de lá tudo cada vez que leio o email, mesmo que me cacem a password não ficam com grande coisa. E quando vou para algum lado posso levar uma cópia dos documentos e caixas de correio. São só alguns gigabytes, cabe num pendisk ou disco portátil. E vai tudo encriptado com uma frase secreta, que é tão fácil de recordar como uma palavra mas muito mais difícil de adivinhar.

A conveniência de ter tudo online é sedutora. Há muita gente que deixa o seu email, fotografias, documentos e o que calhar em servidores alheios porque é prático. Mas eu prefiro não arriscar. Se precisar, posso levar tudo comigo e, se bem que a protecção seja sempre por uma frase ou palavra secreta, o acesso é diferente. É mais fácil ir à página do Gmail que roubar um pendisk.

1- Tech Crunch, The Anatomy Of The Twitter Attack

2- www.flyclear.com, via Schneier on Security