Pesquisadores de segurança lançaram uma ferramenta controversa nesta semana. Batizada de Social Mapper, ela é capaz de recolher em massa dados de perfis nas redes sociais utilizando reconhecimento facial – você só precisa da foto do alvo.

• O que sabemos e o que desconhecemos sobre o novo reconhecimento facial do Facebook
• Microsoft diz que melhorou software de reconhecimento facial para reconhecer pessoas negras

Pode soar como uma ideia terrível, mas os criadores dizem que ela irá ajudar os profissionais da área de segurança – já que eles terão as mesmas ferramentas que pessoas maliciosas.

A ferramenta tem código aberto e pode recolher informações de qualquer pessoa que estiver no LinkedIn, Facebook, Twitter, Instagram, Google+ e nos sites de microblog da China como Weibo e Douban, além do serviço russo VKontakte.

O Social Mapper foi criado por pesquisadores da TrustWave. A intenção era desenvolver uma ferramenta para testes de penetração, ou ataques simulados autorizados que são voltados para testar a segurança de um sistema.

As informações recolhidas não são particularmente invasivas – um amador poderia facilmente encontrar perfis de pessoas nas redes sociais, principalmente se tiverem o nome e uma foto de seu alvo, que são os itens necessários no Social Mapper – só que faz isso em uma escala enorme.

O Social Mapper escaneia perfis de indivíduos e realiza checagens por meio de reconhecimento facial nas fotos dos perfis, procurando pelo “alvo” a partir dos principais resultados que aparecerem na busca por um nome.

Não é um processo muito rápido – os pesquisadores estimam que pode levar mais de 15 horas para listar 1.000 pessoas – mas é um processo automático e eficiente para caçar os perfis das pessoas.

Imagem: Trustwave

O programa então gera um relatório consolidando todos os dados, incluindo links para os perfis das redes sociais dos alvos. Em uma publicação no blog da empresa, os pesquisadores apontam que a ferramenta também pode criar listas para cada site de redes sociais, com o nome do alvo, bem como seu possível email de trabalho.

O suposto propósito para essa ferramenta é simplificar as campanhas de phishing via redes sociais para hackers do bem – ou seja, campanhas de phishing para as quais eles foram contratados com o objetivo de testar a segurança de seus clientes.

Os pesquisadores citam alguns exemplos de uso para a ferramenta. Uma delas é enviar solicitações de amizade a partir de um perfil falso e então enviar links com malwares para pessoas dessas empresas.

Não é difícil imaginar que uma ferramenta como essa, disponível para o público, seja aproveitada por hackers maliciosos, que poderiam utilizá-la para coordenar ataques de phishing e ransomware mais eficientes.

Um porta-voz da Trustwave amenizou as críticas, dizendo que o Social Mapper é voltado para “hackers que testam invasões” que possuem responsabilidades “para encontrar vulnerabilidades utilizando ferramentas e tecnologias que hackers black hat já estão utilizando”.

Em outras palavras, ferramentas como essa já existem, mas a Trustwave está disponibilizando-a para todos, o que “ajuda até mesmo a área de segurança”, nas palavras do porta-voz. O lançamento de ferramentas como o Social Mapper, segundo ele “é bem comum na indústria de segurança e ajuda os hackers do bem”.

Okay.

[The Verge]

Imagem do topo: Getty