Sistema de login pelo Facebook tem falha que expõe dados dos usuários

Por Felipe Demartini | 19 de Abril de 2018 às 10h35
TUDO SOBRE

Facebook

Uma nova falha de segurança envolvendo o sistema de logins pelo Facebook está tirando o sono dos engenheiros da empresa nesta semana. De acordo com um relatório publicado pela Freedom to Tinker, centenas de sites estão usando rastreadores programados em JavaScript para interceptar dados como nomes completos, e-mails, gênero, localização e foto do perfil de usuários que optam por usar o sistema de credenciais da rede social.

O problema, segundo as informações, não está no sistema de login do Facebook em si, mas sim na exploração dessa tecnologia por terceiros. Segundo a Freedom to Tinker, um centro de pesquisas sobre tecnologia ligado à Universidade de Princeton, nos Estados Unidos, esse tipo de abuso do sistema foi encontrado em, pelo menos, 434 sites.

A localização da falha se une a um segundo problema: o rastreamento de usuários mesmo fora do Facebook e sem que eles utilizem o sistema de logins da companhia em todas as páginas. Um dos principais serviços a utilizarem essa prática é o Bands In Town, site que notifica usuários sobre shows que estão sendo realizados nas cidades. Por meio de uma solução para publicidade chamada Amplified, a plataforma é capaz de acompanhar seus utilizadores mesmo fora de seus próprios domínios.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Mais uma vez, o principal ponto aqui seria a obtenção de dados. De forma a exibir o melhor tipo de propaganda possível, o script compartilharia as informações pessoais dos usuários com sites aos quais ele não autorizou esse tipo de coleta, o que poderia incluir, até mesmo, domínios maliciosos. Antes mesmo da publicação do relatório, porém, o Bands In Town disse ter resolvido a questão, chamada de “falha” pelo serviço.

Os motivos por trás da inserção de JavaScript no sistema de login no Facebook seria semelhante. Com a obtenção de informações, serviços de publicidade poderiam oferecer propagandas melhores aos usuários mesmo naqueles serviços em que as credenciais da rede social não foram usadas, inclusive em páginas onde a identificação nem mesmo é necessária.

Ainda em comunicado, o Bands In Town disse não autorizar que seus parceiros ou utilizadores de sistemas de identificação de usuários compartilhem os dados das pessoas com terceiros. Por isso, a ação apropriada foi tomada para acabar com o problema e evitar que ele aconteça novamente.

Outro apontado como “participante” desse tipo de exploração é o MongoDB, um sistema de banco de dados voltado ao desenvolvimento de projetos em código aberto. Em comunicado, a empresa disse não saber que terceiros estavam usando scripts para coletar dados do Facebook e informou que a fonte desse tipo de abuso já foi identificada, com seu funcionamento bloqueado.

Na visão da Freedom to Tinker, uma auditoria sobre a utilização de APIs teria sido suficiente para que o Facebook descobrisse esse tipo de utilização irregular dos dados de seus usuários. O processo de análise mais profunda está sendo realizado, sim, mas somente agora que o escândalo da Cambridge Analytica foi detonado e todos os olhos se voltaram à obtenção indevida de informações de perfis por terceiros.

Apesar disso, não foi possível identificar exatamente o uso que tais veículos fizeram dos dados obtidos, além, claro, do rastreamento para fins de publicidade em si. As informações não são necessariamente sensíveis e não contam com credenciais de acesso ou registros pessoais confidenciais, mas, ainda assim, o que temos é mais um relato de quebra na privacidade, com os cidadãos descobrindo que, muitas vezes, não estão seguros nem mesmo quando fora do ambiente do Facebook.

Fonte: TechCrunch

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.