O pesquisador de segurança
Sanyam Jain encontrou um banco de dados totalmente exposto na web, sem nenhuma
senha, com informações coletadas de até 419 milhões de usuários do Facebook.
Mesmo relacionando telefones, países e nomes dos usuários, o banco de dados não
era de responsabilidade do próprio Facebook.
Após uma denúncia de Jain e do
site TechCrunch, o banco de dados foi retirado do ar pelo provedor de
hospedagem do servidor. Os responsáveis pela manutenção e criação do banco de
dados, no entanto, não foram identificados.
O Facebook contestou a
contagem de registros feita pelo "TechCrunch" e pelo especialista.
Segundo a rede social, o servidor tinha aproximadamente 220 milhões de registros,
e não 419 milhões.
De acordo com o Facebook, as
informações podem ter sido obtidas a partir da técnica de "scraping",
que envolve o uso de programas ou "robôs" para navegar pela rede
social e armazenar os detalhes dos perfis.
Os registros não seriam
recentes. O Facebook fez ajustes no ano passado para impedir a identificação de
contas por meio do número de telefone. Além da busca no próprio site, a
recuperação de senha pelo número de telefone também restringe a identificação
do perfil, mostrando o perfil apenas nos casos em que o Facebook reconhece a
rede de acesso.
Como os responsáveis pelo
servidor não foram identificados, não sabe de que forma esses dados eram
utilizados. O Facebook destacou que nenhuma conta foi comprometida.
Facebook restringe pesquisas
A prática de coleta de
informações no Facebook por esse método ocorre pelo menos desde 2010, quando um
pacote com dados de 100 milhões de perfis foi colocado na internet para alertar
os usuários sobre os riscos de deixar qualquer informação pública na rede
social. Desde então, o Facebook tem restringido o acesso a consultas e listas
de perfis. O acesso ao diretório de perfis, por exemplo, exige verificações
constantes de segurança para evitar o download de dados por robôs.
Como o Facebook permitia
encontrar usuários pelo número de telefone, um hacker poderia tentar todos os
números de telefone consecutivamente, identificando o usuário a quem o número
pertencia.
Um problema semelhante foi
identificado no Snapchat em 2014, mas o Facebook só adotou restrições em 2018.
No ano passado, além do caso Cambridge Analytica, que rendeu uma multa
bilionária ao Facebook, uma brecha permitiu coletar informações configuradas
como particulares.
Em junho deste ano, o Facebook
passou a restringir o uso da GraphSearch para bloquear consultas especiais que
relacionavam informações e perfis a partir de critérios que não estão
disponíveis na ferramenta de consulta da própria rede social.
Fonte: G1
Nenhum comentário:
Postar um comentário