Executando verificação de segurança...
6
joaovcoelho
5 min de leitura ·

🤯 Como um medo me fez reinventar a roda, e ainda descobrir que a realidade era ainda pior do que eu pensava (embora brilhante)...

Ao abrir e-mails, faz um tempo que evito permitir o "exibir imagens", pois sempre tive esse incômodozinho chato de que tinha algo de problemático aí.

Até então, em geral, o objetivo era evitar a execução de algum Javascript embutido, como todos já estamos cansados de saber. Mas não era só isso que me incomodava. Tinha algo além, mas, até então, nunca havia sentado pra pensar sobre. 🤔

Foi aí que me vi agora decidindo tirar uma dúvida técnica com uma IA, para entender se seria tecnicamente viável, e aí a coisa se desenrolou de um jeito maluco...

A dúvida rápida virou possibilidade, que virou tropeço, que virou atropelo, que virou choque e que é agora esse artigo/post. E isso tudo se desenrolou da seguinte maneira:

O Ponto de Partida: A Dúvida Técnica 💡

Minha linha de raciocínio era simples, quase ingênua. Pensei:

"Ok, quando um site é carregado, o HTML dele pode conter links para imagens que estão em outros servidores, como uma CDN (Rede de Distribuição de Conteúdo). O navegador precisa, então, 'ir até lá' buscar a imagem para exibi-la. E se... e se esse 'ir até lá' pudesse ser monitorado?"

Para validar essa ideia, formulei a pergunta mais direta que consegui. Enviei para a IA algo neste estilo:

"É possível uma foto em um HTML ter origem em um endereço HTTP diferente, mas que essa imagem só seja obtida por meio de um método GET? Algo como: <html> <img href='http://cdn.minhasmidias.com/imagens/?id=imagem37'></img></html>"

A intenção era clara: se o servidor da imagem (cdn.minhasmidias.com) recebe uma requisição GET com um identificador único pr'aquela imagem (id=imagem37), ele saberia que aquela imagem específica foi solicitada. (a ideia do" GET" dinâmico foi porque, em geral, costumo ver imagens com endereços já pré definidos, como marketplace.com/loja/.../produtos/produto1.png)

A Possibilidade vira Tropeço: "Sim, e aliás, é assim que a web funciona" ✅

A primeira resposta já foi uma paulada 💥. A IA não só confirmou que era possível, como me explicou que esse é o comportamento padrão e fundamental da web. Qualquer tag <img src="..."> dispara, por definição, uma requisição HTTP GET para o endereço da imagem.

Nesse momento, minha ideia hipotética deixou de ser uma teoria da conspiração e passou a ser uma possibilidade técnica concreta. Eu não havia descoberto uma falha, mas sim descrito o funcionamento básico da internet. O tropeço foi perceber que a porta que eu temia estar entreaberta 🚪, na verdade, estava escancarada.

O Atropelo vira Choque: O "Tracking Pixel" 🕵️‍♂️

Com a viabilidade técnica confirmada, a próxima pergunta era óbvia e foi a que me atropelou. Perguntei:

"Se, ao gerar o HTML para um e-mail, eu incluir um imagem com um token específico para acessar a imagem em minha CDN, é possível supor que consigo saber quando um usuário leu este e-mail?"

A resposta me apresentou a um termo que eu nunca mais vou esquecer: "Tracking Pixel" (ou Pixel de Rastreamento).

Minha cabeça explodiu. 🤯

Acontece que o meu medo de que tokens de ID únicos fossem injetados nas mídias dos e-mails não só era válido, como a realidade era ainda mais engenhosa: a indústria propositalmente injeta um pixel invisível no e-mail com o único objetivo de burlar a privacidade e descobrir quando você o leu. Empresas de e-mail marketing usam essa exata técnica há anos. Elas inserem no corpo do e-mail uma imagem minúscula, geralmente de 1x1 pixel e totalmente transparente, cujo único propósito é existir. Ela é invisível ao olho humano. 👻

Quando o cliente de e-mail (Gmail, Outlook) vai carregar as imagens, ele faz o GET para o endereço daquele pixel invisível. E na URL daquele pixel está tudo o que eles precisam: um ID único para o seu e-mail, um ID da campanha, e o servidor deles registra na hora:

  • 👤 QUEM abriu (o dono daquele ID).
  • QUANDO abriu (o timestamp do acesso).
  • 🌍 ONDE abriu (pelo endereço IP).
  • 💻 EM QUAL DISPOSITIVO (pelo User-Agent da requisição).

Pausa para o choque. Aquele "incômodozinho chato" não era paranoia. Era meu instinto de privacidade apitando 🔔, e com toda a razão. Eu tinha acabado de reinventar a roda, só para descobrir que ela já era o motor de um mercado gigantesco de monitoramento de dados.

A Realidade é Pior (e mais Genial): A Guerra Fria da Privacidade 🛡️⚔️

E quando eu achei que tinha chegado ao fundo do poço, descobri que ele tinha um porão. A IA me explicou que, por causa dessa prática, iniciou-se uma espécie de "guerra fria" da privacidade, com os clientes de e-mail reagindo. Segundo ela, as coisas ficaram ainda mais complexas:

  1. Bloqueio Padrão: A maioria dos clientes hoje em dia bloqueia imagens por padrão. Aquele botão "Exibir imagens" passa a ser, na verdade, até um botão de "consentimento de rastreamento".
  2. Proxies do Gmail (Google): O Google passou a carregar as imagens através de seus próprios servidores, oque pode mascarar o IP original do usuário. O rastreador sabe que o e-mail foi aberto, mas não sabe exatamente de onde.
  3. Apple Mail Privacy Protection (Apple): Segundo a IA,a Apple levou a coisa a outro nível: O aplicativo Mail no iOS agora pré-carrega todas as imagens dos e-mails em seus servidores, mesmo que você nunca abra a mensagem. Isso aciona todos os tracking pixels, tornando a métrica de "abertura" completamente inútil contra usuários Apple, inflando os relatórios e devolvendo o problema para os profissionais de marketing.

Conclusão: Meu Medo Tinha Nome e Sobrenome 🎯

Minha jornada, que começou com uma pulga atrás da orelha e uma dúvida técnica, me mostrou que a realidade da tecnologia é muito mais engenhosa e invasiva do que a gente imagina. O método que eu "criei" na minha cabeça não só existia, como era o padrão da indústria e já estava no meio de uma batalha tecnológica entre privacidade e marketing.

É brilhante do ponto de vista técnico e assustador do ponto de vista do usuário. 😨

Da próxima vez em que você abrir um e-mail e se deparar com o botão [Exibir imagens], lembre-se:

  • você não está apenas baixando um JPEG.

  • Você está, muito provavelmente, autorizando um minúsculo e invisível mensageiro a voltar para sua base e dizer: "Chefe, ele leu a mensagem".

Né mole, não...

absolute rastreio, senhores...

😮
🙌

Carregando publicação patrocinada...
5
Oletros

Meus 2 cents,

So comentando, este tipo de rastreamento ja eh utilizado tem mais de 30 anos - desde meados da decada 90, quando comecou a moda de enviar email com body HTML.

Image tracking eh apenas uma das formas: eh comum um link aparecer como "acesse a pagina X" (o texto) enquanto o href aponta para um endereco de rastreamento (que pode ser um encurtador).

Infelizmente eh tao comum, mas tao comum que sao poucos os emails que NAO TEM algum item de rastreamento.

Encurtadores de url sao outra forma de rastreamento bem comum.

EDIT: Fiquei chocado com a surpresa - como sou macaco paleolitico me parece algo tao obvio que esqueco que tem esta no mercado a relativamente pouco tempo nao conhece estes macetes. Me recordou uma frase de uma HQ do Sandman: "ja esqueci de coisas que voce ainda nem aprendeu" - hummm, vou aproveitar a deixa e tomar meu remedio de pressao...

Saude e Sucesso !

2
joaovcoelho
  • Autor
    Autor

Kkkkkk é justo.

Sobre a parte do rastreamento, isso eu também sempre soube. A minha surpresa foi mais especificamente em relação a usar uma imagem pra isso. Porque, até então, a ideia era de que o e-mail passava a ser um dado "meu", ou seja, armazenado por mim (ou pela Google, nesse caso).

Uma surpresa mais técnica sobre como, mesmo sem clicar em nada, o remetente poderia saber que eu abri o e-mail, se o HTML dele tiver sido codado pra buscar a imagem em outro lugar e eu tiver permitido a exibição de imagens.

Esse foi o ponto que me causou o choque. Então esse artigo é uma materialização do meu processo de raciocínio até "reinventar a roda" e descobrir que isso, não só existe já com a abordagem técnica que pensei, como é ainda pior kkkkk

2
Oletros

Meus 2 cents extendidos,

Esta questao de pixel tracking eh tao complexa que ate nos 'termos de uso' do TABNEWS eh citada (Termos de Uso, Usuario, item 5)

...se compromete em não utilizar técnicas passivas de tracking, como tracking pixel ou qualquer outro tipo de identificação que não necessite da interação dos outros usuários do site...

Saude e Sucesso !

1
joaovcoelho
  • Autor
    Autor

Caraca! Que informação interessante! E bem legal que isso já esteja até nos termos aqui da plataforma. Bem legal mesmo o cuidado deles. Vlw, Oletros