No início deste mês, o Facebook admitiu que estava pedindo a alguns usuários que se cadastraram no desktop usando endereços de e-mail que não suportam o padrão aberto OAuth para lhe darem as senhas de suas contas de e-mail — com as opções para evitar que isso fosse feito escondidas em um submenu “Precisa de Ajuda?”. Agora, a gigante das redes sociais admitiu que, sim, fez o upload “sem querer” de listas de contatos de até 1,5 milhão dessas contas de e-mail para o Facebook, sem o consentimento ou conhecimento de seus proprietários.

O especialista em segurança da Electronic Frontier Foundation, Bennett Cyphers disse ao Business Insider no início deste mês que pedir aos usuários que entreguem credenciais de conta como parte de um processo de registro é “basicamente indistinguível de um ataque de phishing”. De acordo com uma reportagem de quarta-feira (17) no Business Insider, o Facebook disse agora que extraiu automaticamente listas de contatos de cerca de 1,5 milhão de contas de e-mail às quais recebeu acesso por meio deste método, sem nunca pedir permissão. Novamente, esse é exatamente o tipo de coisa que se veria em um ataque de phishing.

O Facebook disse ao Gizmodo por e-mail que, em maio de 2016, fez uma revisão do processo de registro, que inicialmente pedia aos usuários afetados permissão para fazer upload de listas de contatos. Essa alteração removeu o prompt de opção de adesão, embora a empresa não percebesse que a funcionalidade subjacente ainda estava funcionando em alguns casos. Parece que a única maneira de um usuário estar necessariamente ciente disso antes da ativação da conta seria se ele pegasse um pop-up dizendo que o Facebook está “importando contatos”.

O Facebook diz que nunca viu o conteúdo de e-mail de ninguém, de acordo com o Business Insider.

Um porta-voz da empresa disse ao Gizmodo por telefone no início deste mês que “a intenção dessa opção era simplesmente confirmar a conta”. No entanto, o site confirmou ao Gizmodo na quarta-feira que as informações de contato foram usadas para sugestões de amigos (ou seja, o recurso “Pessoas que você pode conhecer”) e para melhorar os anúncios (em outras palavras, para fins de publicidade direcionada).

O porta-voz também disse ao Gizmodo que uma captura de tela do prompt de opção de adesão original não estava disponível.

Em um comunicado, a empresa escreveu que iria notificar os 1,5 milhão de usuários impactados, além de excluir quaisquer contatos que obtivesse sem seu conhecimento ou consentimento:

No início deste mês, deixamos de oferecer a verificação de senha de e-mail como uma opção para as pessoas confirmarem suas contas ao se inscreverem no Facebook pela primeira vez. Quando analisamos as etapas pelas quais as pessoas estavam passando para verificar suas contas, descobrimos que, em alguns casos, os contatos de e-mail das pessoas também foram carregados de forma não intencional no Facebook quando elas criaram suas contas. Estimamos que até 1,5 milhão de contatos de e-mail de pessoas podem ter sido carregados. Esses contatos não foram compartilhados com ninguém, e estamos os excluindo. Corrigimos o problema subjacente e estamos notificando as pessoas cujos contatos foram importados. As pessoas também podem revisar e gerenciar os contatos que compartilham com o Facebook em suas configurações.

Vale apontar que o Daily Beast confirmou que alguns usuários estavam sendo solicitados a fornecer senhas de e-mail “usando um endereço de webmail descartável e conectando-se através de uma VPN na Romênia”. A Romênia é um estado membro da União Europeia, que implementou o Regulamento Geral sobre a Proteção de Dados (que exige consentimento explícito, livre e informado para processar dados pessoais) no ano passado.

Esta é a enésima vez na história recente que se descobriu que o Facebook fez algo que os seus usuários talvez não gostassem. Polêmicas recentes notáveis na empresa incluíram o uso da autenticação de dois fatores como pretexto para obter números de telefone para notificações e publicidade direcionada, o uso de aplicativos pseudo-VPN para absorver informações abrangentes sobre os hábitos móveis dos usuários e o surgimento de avisos aparentemente ofuscados para compartilhar metadados de chamadas e mensagens e armazenamento de senhas em texto simples.

[Business Insider]