Servidor expõe dados sensíveis de mais de 400 milhões de usuários do Facebook

Servidor desprotegido reunia dados, como id e telefone, de milhares de usuários do Facebook; empresa diz que servidor já foi tirado do ar.
Aplicativo do Facebook em um smartphone
Joshua Hoehne/Unsplash

O Facebook está encarando outra questão de segurança, só que desta vez o incidente envolve a descoberta de um servidor que contém centenas de milhões de números de telefone que eram associados com contas na plataforma.

A situação parece estar conectada com um recurso que não está mais ativo na plataforma, mas permitia que usuários buscassem alguém baseado no número de telefone. Zack Whittaker, do TechCrunch, noticiou nesta quarta-feira (4) que um servidor — que não pertence ao Facebook, mas que não tinha proteções e poderia ser acessado por qualquer pessoa que o achasse — foi descoberto pelo pesquisador de segurança Sanyam Jain. Ele reparou que o servidor continha registros de mais de 419 milhões de usuários do Facebook, incluindo 133 registros de usuários baseados nos Estados Unidos.

(Um porta-voz do Facebook negou a cifra de 419 milhões em uma conversa com o Gizmodo, dizendo que o servidor continha “perto de metade” deste número, mas não especificou um número mais preciso.)

De acordo com o TechCrunch, dados contidos no servidor incluem o número de telefone de usuários do Facebook e a identificação individual de usuários. Usando ambos, o TechCrunch diz que conseguiu verificar registros e encontrar, em alguns casos, o país do usuário, o nome e a orientação sexual. O site informa ainda que não está claro quem conseguiu obter esses dados do Facebook ou a razão de ter feito isso. O porta-voz do Facebook disse que a companhia ficou sabendo da situação há alguns dias, mas não especificou a data.

Whittaker notou que ao ter acesso ao número de telefone do usuário, ele poderia permitir que uma pessoa mal-intencionada forçasse o reset das contas ligadas àquele número, e poderia expor essas pessoas a chatices como spam ou outros tipos de abusos. No entanto, esses dados também podem permitir que alguém obtenha uma série de informações particulares de uma pessoa, inserindo-a em algum banco de dados público ou mesmo possibilitando se passar por ela, facilitando o acesso a aplicativos ou mesmo uma conta bancária.

“Este conjunto de dados é velho e parece ter informação obtidas antes de ocorrer mudanças no ano passado para remover a habilidade das pessoas de achar usuários por meio do número de telefone”, disse um porta-voz do Facebook em um comunicado. “O conjunto de dados foi desativado e não vimos nenhuma evidência de que as contas do Facebook foram comprometidas”.

O Facebook anunciou em um blog post do CTO da rede, Mike Schroepfer, em abril de 2018, que estava diminuindo a capacidade de os usuários procurarem outros usando o número de telefone ou endereços de e-mail após descobrirem que “pessoas mal-intencionadas” estavam abusando da função de obter informações publicamente disponíveis. Schroepfer escreveu na época que, devido à “escala e sofisticação da atividade que vimos, acreditamos que a maioria das pessoas no Facebook poderia ter seu perfil público ‘raspado’ dessa maneira”. Ainda assim, enquanto a empresa divulgou inicialmente a probabilidade de um incidente desses no ano passado, não torna as notícias dessa semana menos preocupantes.

Outro dia, outra espetacular confusão de segurança de uma empresa que parece atrair este tipo de coisa. A notícia vem logo após o senador Ron Wyden dizer a um entrevistador que ele acredita que os legisladores dos EUA deveriam garantir que o CEO do Facebook, Mark Zuckerberg, enfrente a “possibilidade de prisão” pelos abusos de dados de usuários. Embora isso pareça fora de cogitação, a possibilidade de se tornar realidade fica mais forte a cada dia.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas