fbpx

Mais de 540 milhões de dados de usuários coletados do Facebook são encontrados

A UpGuard publicou no último dia 3 comprovações de ter encontrado outras duas bases de dados de aplicativos terceiros do Facebook expostos de maneira pública na internet, piorando o já manchado e conturbado cenário em que se encontra a gigante rede social que recentemente esteve em uma polêmica após relatos de que a plataforma solicitava a senha da conta de e-mail cadastrada para novos usuários.

A descoberta da UpGuard se refere a fontes de duas empresas terceiras que utilizam dados do Facebook, a empresa de mídia mexicana Cultura Colectiva e um backup de um aplicativo integrado à rede social chamado “At the Pool”.

No caso da Cultura Colectiva foram descobertos 146 gigabytes contendo mais de 540 milhões de registros como comentários, curtidas, reações, nomes de contas, IDs entre outros. Apesar de serem dados coletados por empresas terceiras, o Facebook vem enfrentando grandes polêmicas pela forma que disponibiliza e gerencia os dados passados a terceiros. O grande exemplo foi escândalo do caso da Cambridge Analytica que coletou e utilizou dados de mais de 87 milhões de usuários gerando uma multa ao Facebook de 500.000 libras (multa máxima para casos de proteção de dados no Reino Unido).

Já o incidente do aplicativo At the Pool pode até não ter um número de contas muito expressivo em relação ao da empresa mexicana (cerca de 22 mil usuários), porém com um agravante: foram encontradas senhas em texto livre.

O backup continha por exemplo colunas para fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, passwords entre outras. De acordo com o relatório da UpGuardAs senhas são presumivelmente para o aplicativo “At the Pool”, e não para a conta do Facebook do usuário, mas colocariam em risco os usuários que reutilizaram a mesma senha nas contas.

O que pode “servir de consolo” aos usuários expostos, é que segundo a própria UpGuard, o aplicativo encerrou suas atividades em 2014 e até seu site já não está ativo, mas não muda o fato de que dados sensíveis permaneceram expostos por longo período de tempo a qualquer um.

Ambos os casos estavam armazenados em buckets do Amazon S3 inseguros que permitiam o download dos arquivos. Segundo o relatório, “Os conjuntos de dados variam quando foram atualizados pela última vez, os pontos de dados presentes e o número de indivíduos únicos em cada um. O que os une é que ambos contêm dados sobre os usuários do Facebook, descrevendo seus interesses, relacionamentos e interações, disponíveis para desenvolvedores de terceiros”.

Os técnicos ainda ressaltam que as práticas adotadas pelo Facebook para reduzir o acesso de terceiros tem sido insuficiente e questiona a capacidade da rede social de proteger os grandes volumes de dados que detém: “Como o Facebook enfrenta o escrutínio de suas práticas de administração de dados, eles fizeram esforços para reduzir o acesso de terceiros. Mas, como mostram essas exposições, o gênio de dados não pode ser colocado de volta na garrafa. Os dados sobre os usuários do Facebook se espalharam muito além dos limites do que o Facebook pode controlar hoje”.

O relatório também aponta que os dados expostos da Cultura Colectiva foram encontrados e notificados no dia 10 de janeiro de 2019. Por não ter havido uma resposta uma nova notificação foi enviada no dia 14 de janeiro. No dia 28 de janeiro então os técnicos alertaram a Amazon Web Services que respondeu no dia 1º de fevereiro dizendo que o proprietário do bucket estava ciente. Não houve uma solução para o problema até o dia 3 de abril de 19 quando o Facebook foi contatado pela Bloomberg para informar que o banco de dados dentro do bucket havia sido finalmente protegido.

Já com relação aos dados provenientes do “At the Pool”, eles ficaram off-line durante a investigação de origem pelos técnicos da UpGuard. “Não se sabe se isso é uma coincidência, se houve um lapso de período de hospedagem ou se uma parte responsável tomou conhecimento da exposição naquele momento. Independentemente disso, o aplicativo não está mais ativo” informa o relatório.

As duas situações divulgadas recentemente escancaram alguns problemas inerentes da coleta de dados em massa: Eles não desaparecem do nada e locais de armazenamento abandonados requerem tratamentos e proteções tanto quanto os ativos.




Destaques

Menu