Facebook fez de novo: dados de mais de meio bilhão de usuários foram expostos
Como se não bastasse, o Facebook pediu para que alguns usuários informassem as senhas de suas contas de e-mail à plataforma
Ronaldo Gogoni 5 anos atrás
Não passa uma semana sem que o Facebook se envolva em uma nova polêmica, mas desta vez, ela veio em dose dupla: primeiro, foram descobertos dois bancos de dados de empresas parceiras, com informações coletadas de cerca de 540 milhões de usuários, incluindo senhas, comentários e reações, que ficaram por um bom tempo disponíveis publicamente.
Segundo, a rede social foi pega solicitando que usuários novos enviassem a senha de suas contas de e-mail à plataforma, de modo a permitir que os mesmos pudessem usar o serviço.
- Milhões de senhas do Facebook e Instagram foram guardadas em texto puro
- Facebook compartilha número de celular com todos por padrão
Falemos primeiro da trapalhada maior, o vazamento de dados divulgado pela empresa de segurança UpGuard. O maior deles veio de uma companhia de mídia do México, chamada Cultura Colectiva, que coletava informações de usuários através de um app conectado ao Facebook.
Embora até aí não haja nada de errado (isso é permitido nos Termos de Serviço, e o usuário concorda com eles ao fazer uso de apps na rede social), o problema reside em como tais parceiros tratam os dados (cofcofCambridgeAnalyticacofcof). No caso, o banco de dados estava aberto a consulta pública e era gigantesco, com mais de 146 GB e reunia informações de cerca de 540 milhões de usuários, trazendo detalhes como nomes de usuário, comentários, curtidas, reações, nomes de conta e etc.
O segundo vazamento, embora menor não é menos grave: referente a um app do Facebook chamado At the Pool, aparentemente desativado anos atrás; as informações de cerca de 22 mil usuários estavam totalmente livres, nomes de usuário e conta, curtidas, reações, check-ins, eventos, grupos, fotos, registros de atividade e até senhas em texto puro (aparentemente do app, e não do Facebook, mas caso o usuário reutilize senhas...).
Ambos bancos de dados foram armazenados no serviço público Amazon S3, algo que não deveria acontecer e lembra o Facebook, é proibido em seus Termos de Uso.
Exemplo do banco de dados do app At the Pool, com dados sensíveis devidamente censurados
Não se sabe por quanto tempo tais bancos de dados ficaram disponíveis, e uma vez que o Facebook foi alertado, ambos foram removidos da internet. É preciso lembrar também que a culpa recai primeiro nas empresas parceiras, por não tratarem melhor os dados dos usuários da rede social, mas é fato que a companhia de Mark Zuckerberg exerce pouco ou nenhum controle, quanto à coleta e tratamento desses dados, por pura falta de interesse.
Em nota, o Facebook disse que "suas políticas proíbem o armazenamento de dados em bancos de dados públicos", e que tão logo foi avisada, a empresa entrou em contato com a Amazon para elimina-los. E completa, dizendo que a empresa "está comprometida a trabalhar com os desenvolvedores para proteger os dados dos usuários".
Facebook pediu a senha de e-mail a usuários novos
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 de março de 2019
Essa não foi a única presepada recente do Facebook. De acordo com um artigo do site The Daily Beast, alguns usuários novos e outros mais antigos, em especial aqueles que usam contas de e-mail de serviços menos populares (leia-se: que não o Gmail, que possui OAuth) como login, foram solicitados a confirmarem suas contas de modo a usarem a plataforma.
A forma como o Facebook fez isso, entretanto, foi pedir a senha de e-mail a tais pessoas.
Em nota ao site, um porta-voz do Facebook admitiu a prática, que viola praticamente todas as boas práticas de Segurança da Informação (a grosso modo, o Facebook estaria fazendo ataques de phishing), e que "não armazena nenhuma senha", apenas as solicita para confirmar a autenticidade das contas.
De qualquer modo, a rede social informa que está revendo a prática, solicitando ao invés disso que um novo usuário entre com um código enviado ao e-mail, como forma de autenticar o cadastro e liberar o acesso à rede social.
Com informações: UpGuard, The Daily Beast, Ars Technica.
