Testes para o Facebook expõem dados de 120 milhões usuários

Uma empresa que desenvolve quizes para o Facebook teria sido a responsável por expor os dados de mais de 120 milhões usuários da plataforma. A bola da vez é o NameTests.com, um site que faz parte do rol de serviços da companhia alemã Social Sweethearts, por trás de testes que se tornaram populares principalmente na Europa.

Entre as opções disponíveis estavam testes que permitiam descobrir qual princesa Disney ou membro dos Vingadores o usuário seria. Os dados dos participantes eram coletados e armazenados em um arquivo JavaScript, que de acordo com o especialista Inti De Ceukelaire, responsável pela revelação da brecha, poderia ser facilmente acessado por criminosos e utilizado para fins maliciosos.

Mediante ligação autorizada pelo usuário, o perfil no Facebook era conectado aos sistemas da empresa para realização do teste. Com isso, dados como nome, data de aniversário, fotos e lista de amigos eram armazenados de maneira simples, podendo ser mal utilizados por terceiros. A Social Sweethearts, entretanto, garante que isso não aconteceu.

Em declaração fornecida à imprensa, a empresa afirma que não existem evidências de que os dados armazenados de forma vulnerável foram acessados ou utilizados por pessoal não-autorizado. Além disso, a companhia afirma que investigou o caso assim que recebeu as informações sobre a vulnerabilidade e tomou as medidas necessárias para correção, de forma a trazer mais proteção às informações coletadas, que seriam necessárias para suas aplicações.

É uma alegação corroborada também pelo Facebook. A rede social afirmou ter sido notificada sobre a questão por meio de seu programa de caça a bugs e mau uso de dados, que oferece recompensas em troca de descobertas relacionadas à segurança de seus serviços. A companhia afirma ter trabalhado ao lado da NameTests para resolver o problema, com uma mudança nos parâmetros de segurança tendo sido aplicada no começo deste mês de junho para fechar a vulnerabilidade.

Ceukelaire, porém, aponta que a situação não foi assim tão clara. Ele não confirma ser o responsável por apontar a descoberta ao Facebook, mas disse ter entrado em contato com a empresa diversas vezes sobre o assunto, ora não recebendo resposta, ora sendo informado de que a companhia estaria investigando o caso. Ele confirma, porém, que medidas de segurança foram implantadas pela companhia de quizes em junho e que a falha já foi corrigida.

Entretanto, não existem informações sobre possíveis sanções à Social Sweethearts ou seus serviços relacionados ao Facebook. Em abril, no auge do escândalo da Cambridge Analytica, que levou ao uso indevido dos dados de centenas de milhões de usuários da rede social, a empresa anunciou que uma auditoria interna preliminar teria levado à suspensão de mais de 200 aplicativos devido a protocolos de segurança aquém do exigido. Esse processo, afirma a companhia, continua a acontecer, mas novos números relacionados a ele não foram revelados.

É importante citar que, ao contrário do que aconteceu com a Cambidge Analytica, os dados coletados pelo NameTests eram públicos e seu armazenamento aconteceu mediante autorização dos usuários. O problema, aqui, se encontra na maneira usada pela companhia para guardar tais informações, deixando-as disponíveis para que hackers realizassem ataques ou tentativas de golpe.

Ainda assim, como ressalta Ceukelaire, trata-se de mais um caso de empresas não relacionadas ao Facebook que estão longe de tomarem cuidado com as informações de seus usuários. A rede social se comprometeu a mudar, desde o caso da Cambridge Analytica, e fechou o cerco quanto à disponibilidade das informações dos usuários e sua utilização por terceiros. Esperar que os outros tenham esse mesmo tipo de cautela, porém, pode ser um pouco demais.

Na dúvida, é melhor não fazer nada. Evite usar serviços que se aproveitam de dados do Facebook para entregar resultados ou opções adicionais, a não ser que confie na companhia responsável pelo que está sendo ofertado. Você provavelmente não precisa saber que princesa Disney seria, então é melhor prevenir e viver sem essa informação do que ter a ingrata surpresa de fazer parte de um grande vazamento de dados e ter suas informações expostas por aí.