A jornada do Facebook para provar que é uma empresa boa e confiável nos últimos meses foi interrompida quando revelaram que um app de quiz vendeu dados de usuários para uma empresa envolvida com política. Um pesquisador descobriu que um app de terceiro, chamado NameTests, expôs dados de 120 milhões de usuários do Facebook, que estavam disponíveis para qualquer um que soubesse explorar uma falha.

Por que não é uma boa ideia sair fazendo testes do Facebook

O escândalo de privacidade do Facebook começou em março, quando foi revelado que dados de uma empresa contratada para a campanha presidencial de Donald Trump, a Cambridge Analytica, comprou dados de usuários de um professor que tinha feito um app chamado “thisisyourdigitallife”. O Facebook sabia da violação de suas políticas e não fez nada por anos. No entanto, o CEO da empresa, Mark Zuckerberg, começou a ser pressionado por legisladores, e acionistas começaram a ficar nervosos, e então o Facebook liberou mudanças — algumas pequenas, outras grandes. Uma auditoria em apps de terceiros na plataforma resultou na suspensão de 200 apps em maio. Mas parece que pode haver ainda mais problemas esperando para aparecer, como demostrado pela descoberta do hacker ético Inti De Ceukelaire sobre uma falha de segurança do NameTests.

Na quarta-feira (27), De Ceukelaire descreveu o processo ao reportar uma falha no site por trás do app para o programa de recompensa de abuso de dados do Facebook. Como nunca usou o app, De Ceukelaire começou a buscar apps que seus amigos no Facebook tinham instalado. Ele, então, decidiu responder ao quiz no app NameTests. Ao começar a monitorar como os seus dados estavam sendo tratados, ele reparou que o site NameTest estava obtendo as informações por meio da URL “http://nametests.com/appconfig_user”. Os dados pessoais dele estavam em um arquivo de JavaScript que poderia ser facilmente requerido por qualquer website que o solicitar.

De Ceukelaire deu como exemplo um site pornô hipotético que conhecia a vulnerabilidade. Um usuário do Facebook poderia visitar essa página, o site poderia perguntar ao NameTest se este visitante tem um perfil e, caso tivesse, o site pornô poderia baixar uma série de dados da pessoa.

Além disso, o NameTest fornecia um token de acesso que permitia ao site continuar a acessar as informações sobre posts do usuário, fotos e de amigos por até dois meses. O hacker escreveu que, “dependendo dos quizzes que você fez, o javascript poderia vazar seu Facebook ID, primeiro nome, último nome, língua, gênero, data de nascimento, imagem de perfil, foto da capa, dispositivos que você usa, quando suas informações foram atualizadas pela última vez, seus posts, seus status, suas fotos e a de seus amigos”. Ele fez um vídeo de um site falso que criou para se aproveitar da falha, caso você queira ver na prática como funciona.

A vulnerabilidade do NameTest pode ter sido um simples erro ou um exemplo de negligência, mas certamente é um exemplo visceral do pouco controle que o Facebook tem dos dados de usuários, enquanto essas informações flutuam por aí por meio de milhares de apps. Um hacker poderia usar esses dados para uma série de atividades nefastas. No site pornô falso, De Ceukalaire cita o potencial para chantagear um usuário ao revelar suas atividades, de amigos ou mesmo da sua família.

A descoberta do NameTest não só demonstra o quanto não sabemos sobre como apps de terceiros usam nossos dados, como também mostra o processo desagradável do programa de recompensa do Facebook para abuso de dados. De Ceukelaire disse que reportou o problema em 22 de abril, e, após oito dias, o Facebook respondeu que estava analisando. Em 14 de maio, ele checou para ver se o Facebook tinha entrado em contato com os desenvolvedores do NameTest. Após oito dias, o Facebook respondeu, dizendo que levaria de três a seis meses para conduzir uma investigação. Enquanto isso, o NameTest estava lá, facilmente se aproveitando do problema de segurança.

O tempo foi passando, e ele não recebeu nenhuma resposta do Facebook. Em 25 de junho, no entanto, De Ceukalaire notou que o NameTest corrigiu o erro. Após contatar o Facebook, a empresa reconheceu a correção e concordou em doar US$ 8 mil para a Freedom of Press Foundation como parte do prêmio recebido. No fim, o Facebook levou pelo menos um mês para corrigir o problema.

Nós contatamos a empresa responsável pelo NameTest, a Social Sweethearts, para comentar o problema, e um porta-voz nos disse:

A investigação concluiu que não havia evidências de dados pessoais de usuários divulgados para terceiros sem autorização e que não havia provas de que esses dados foram usados de forma indevida. No entanto, a segurança de dados é levada muito a sério pela Social Sweethearts, e medidas estão sendo tomadas para evitar riscos no futuro.

Nós perguntamos ao Facebook se essa lentidão na resposta é comum no programa de recompensa. Nós, então, recebemos um texto atribuído a Ime Archibong, vice-presdiente de parcerias de produto, que diz o seguinte:

Um pesquisador mostrou um erro relacionado ao site nametests.com por meio do programa de recompensa de abuso de dados que nós lançamos em abril para encorajar notificações envolvendo dados do Facebook. Nós trabalhamos com a equipe do nametests.com para consertar o problema, que foi corrigido em junho.

O Facebook também enviou pra gente um blog post publicado em sua página de recompensa que foi disponibilizado na manhã desta quinta (28). Nele, não há informações adicionais, e a publicação parece um anúncio voluntário elogiando o achado de De Ceukelaire e celebrando o trabalho com a equipe da NameTest. A realidade é que o Facebook mais uma vez está se abrindo sobre algo que é conhecido já há um tempo. O ciclo é cansativo e firmemente enraizado no DNA da empresa.

No futuro, veremos mais revelações sobre aplicativos de terceiros que manipulam dados incorretamente. O Facebook tem sido bem claro sobre isso. Mas também parece que a rede social está se mexendo muito devagar quando se trata de resolver problemas quando eles surgem. Talvez o Facebook possa desviar alguns recursos de seu programa de drone recém-cancelado para formar a equipe de recompensas para acelerar as coisas.

[Medium via TechCrunch]

Imagem do topo: Getty Images