A divulgação de uma enorme falha de segurança no Facebook na sexta-feira (28), em que os invasores ganharam acesso a tokens de pelo menos 50 milhões de contas — contornando medidas de segurança e potencialmente ganhando controle total dos perfis e dos apps associados — já acendeu a ameaça de uma multa de US$ 1,63 bilhão por parte da União Europeia, segundo o Wall Street Journal.
• A mais recente falha de segurança do Facebook foi a gota d’água para mim
• Facebook está dando para anunciantes informações que você sequer forneceu ao site
O bug, que explorou falhas nos recursos de “Ver Como” e de publicar vídeos para ganhar acesso às contas, forçou o Facebook a resetar os tokens de acesso de 50 milhões de usuários, além de outras 40 milhões de contas, por precaução (isso significa que, se você foi desconectado dos seus dispositivos, você foi afetado). O Facebook não disse se os invasores tentaram extrair dados dos perfis afetados, mas o vice-presidente de gerenciamento de produtos da empresa disse a repórteres que eles tentaram coletar informações privadas dos sistemas do Facebook, segundo o New York Times. Rosen também afirmou que a companhia não conseguiu determinar a extensão do ataque nos aplicativos de terceiros.
The idea that facebook “doesnt know what information people have accessed” is disingenuous. FULL ACCOUNT ACCESS means they could do literally everything you do on Facebook.
— rat king (@MikeIsaac) 28 septembre 2018
(“A ideia de que o Facebook “não sabe quais informações as pessoas acessaram” é falsa. ACESSO TOTAL À CONTA significa que eles podem fazer literalmente tudo o que você faz no Facebook.”)
Ainda não está claro se os invasores tiveram acesso às informações mais delicadas armazenadas na rede, como mensagens privadas do Messenger. O Facebook disse que o ataque foi altamente sofisticado e que a resposta da empresa está em seus estágios iniciais, mas que talvez eles nunca saibam quem foram os autores da invasão. Contatado pelo Gizmodo no final de semana, um representante do Facebook nos direcionou para as afirmações anteriores da empresa sobre o ataque, que só contêm os detalhes que já estavam disponíveis anteriormente.
I asked Facebook how sophisticated the hackers were and whether this could be nation-state activity. Rosen says attack was “complex” and leveraged three multiple bugs that interacted together. “We may never know” the identity of the hackers, Rosen adds.
— Dustin Volz (@dnvolz) 28 septembre 2018
(“Perguntei ao Facebook quão sofisticados eram os hackers e se isso poderia ser uma atividade de estado-nação. Rosen diz que o ataque foi “complexo” e tirou vantagem de três bugs múltiplos que interagiram juntos. “Talvez nunca saibamos” a identidade dos hackers, acrescenta Rosen.”)
A) Nation states do not always use more sophisticated TTPs than criminal organizations.
2) Nation states do not always have more sophisticated TTPs than criminal organizations.
3) Nation states aren’t necessarily afraid to contact the services of criminal organizations.— Lesley Carhart (@hacks4pancakes) 28 septembre 2018
(“1) Estados-nação nem sempre usam TTPs [Táticas, técnicas e procedimentos, em tradução livre] mais sofisticados do que organizações criminosas.
2) Estados-nação nem sempre têm TTPs mais sofisticados do que organizações criminosas.
3) Estados-nação não têm necessariamente medo de entrar em contato com serviços de organizações criminosas.”)
De acordo com o Wall Street Journal, o principal órgão de controle de privacidade da União Europeia para o Facebook, a Comissão de Proteção de Dados da Irlanda, também está tendo dificuldades em conseguir informações sobre o que aconteceu exatamente:
A Comissão de Proteção de Dados da Irlanda, principal reguladora de privacidade do Facebook na Europa, disse no sábado (29) que havia pedido mais informações da empresa sobre a natureza e a escala da falha, incluindo quais habitantes europeus poderiam ter sido afetados.
Em um comunicado enviado por e-mail, a agência reguladora disse que está “preocupada com o fato de que essa falha tenha sido descoberta na terça-feira (25) e afete milhões de contas de usuários” e com a incapacidade do Facebook de “esclarecer a natureza da brecha e o risco aos usuários nesse momento”.
O Wall Street Journal escreveu que a brecha pode desencadear as multas máximas possíveis sob a recém-promulgada lei de proteção de dados da Europa, conhecida como GDPR (General Data Protection Regulation), que é de 4% da receita global de uma empresa no ano anterior. No caso do Facebook, a multa seria de US$ 1,63 bilhão:
Sob a GDPR, as empresas que não fazem o bastante para proteger os dados de seus usuários correm o risco de uma multa máxima de € 20 milhões (US$ 23 milhões) ou de 4% da receita global da empresa no ano anterior, seja qual for a maior. A multa máxima do Facebook seria de US$ 1,63 bilhão, usando o cálculo maior.
A lei também exige que as empresas notifiquem os reguladores sobre brechas dentro de 72 horas, sob ameaça de uma multa máxima de 2% da receita global.
Como apontou o Wall Street Journal, reguladores europeus ainda não usaram a GDPR para cobrar multas, e resta saber se eles aplicariam a pena máxima (ou qualquer pena), especialmente se determinarem que o Facebook “tomou as medidas apropriadas para proteger os dados de seus usuários antes da invasão” e que a empresa “cooperou ou pelo menos cumpriu (as exigências) parcialmente”.
Entretanto, a GDPR contém recomendações para que as empresas armazenem o menor número possível de dados dos usuários, o que pode expor o Facebook a responsabilidades mais altas. A Comissão Europeia também exigiu recentemente que o Facebook divulgue melhor para os usuários “como seus dados estão sendo usados ou enfrentem sanções de proteção do consumidor e vários países”, acrescentou o jornal.
Nos EUA, onde não existe um equivalente da GDPR, a possibilidade de uma multa dessas é muito remota. No entanto, o Facebook ainda enfrenta uma investigação da Comissão Federal de Comércio dos EUA (FTC, na sigla em inglês) sobre se diversas violações de dados, incluindo o escândalo Cambridge Analytica e um incidente de captura de dados que afetou a maioria de seus 2,2 bilhões de usuários, violaram um decreto de consentimento de 2011 sobre privacidade do usuário, o que poderia resultar em multas de mais de um bilhão de dólares. Não está claro qual papel o atual desastre poderia ter nessa investigação, mas um chefe da FTC, Rohit Chopra tuitou: “Eu quero respostas”.
O Facebook também está enfrentando uma pressão sem precedentes por parte de conservadores de alto escalão nos EUA, irritados com alegações infundadas de que as empresas de tecnologia sediadas na Costa Oeste dos EUA os censuram regularmente.
Ao mesmo tempo, a companhia ainda enfrenta a pressão de defensores da privacidade furiosos com violações de privacidade anteriores e recentemente viu a saída dos fundadores das subsidiárias Instagram e Whatsapp em meio a relatos de disputas de poder com seus donos.
As ações do Facebook caíram vertiginosamente em julho, em meio a números de crescimento de usuários preocupantes, e não se recuperaram desde então. Seria falso fingir que as preocupações que levam às críticas ao Facebook sejam totalmente bipartidárias, mas a rede entrou em um território perigoso — e, se acontecer de os invasores terem acesso e usarem de forma inadequada os dados confidenciais dos usuários, isso pode piorar muito rapidamente.
O Facebook começou a notificar os usuários no fim de semana sobre a falha, mas o fez na forma de um aviso postado no topo do feed de notícias, intitulado “Uma Importante Atualização de Segurança”, contendo as mesmas informações enviadas a repórteres. Supostamente, a gigante das redes sociais começará a divulgar mais informações sobre a brecha em breve, mas o silêncio durante o fim de semana indica que ou a empresa ainda está coletando essas informações ou está decidindo como divulgá-las.
Imagem do topo: AP