Como saber se meus dados vazaram do Facebook?

Na última semana, veio à público a informação de que os dados pessoais de 533 milhões de usuários do Facebook, sendo oito milhões de brasileiros, estavam disponíveis publicamente na internet. Informações como nomes usados na rede social, e-mails, números de telefone, localização geográfica, informações de trabalho e gênero fazem parte do vazamento. Os arquivos aparecem em 106 pastas divididas por país, que eram vendidas em um fórum focado no cibercrime por créditos adquiridos na própria plataforma.

• Facebook | Dados de 533 milhões de usuários vazam; veja se você foi afetado
• Facebook se pronuncia sobre vazamento de 533 milhões e confirma “data scrapping”
• Procon-SP quer que Facebook se explique sobre suposto vazamento de dados

As informações são originadas de um caso mais antigo, que data de setembro de 2019. Na ocasião, o Facebook desativou uma ferramenta de importação de contatos que permitia, a partir de números de telefone, obter informações dos usuários cadastrados na rede social. O volume foi obtido a partir de uma técnica conhecida como “data scrapping”, ou raspagem de dados em português, que basicamente indica o uso de soluções automáticas para coletar dados públicos.

O fato de as informações estarem abertas a outros usuários e terem sido inseridas pelos próprios utilizadores, porém, não torna a brecha menos perigosa. Os dados são compilados em um banco de dados que reúne, de forma fácil, tudo o que está disponível sobre um determinado indivíduo, em um formato que pode ser usado de forma bastante efetiva em ataques envolvendo engenharia social, distribuição de spam e outros crimes digitais.

Um bandido pode, entre diversos exemplos, se passar pelo próprio Facebook ou outros serviços indicando supostos cadastros que levem a ainda mais coleta de dados ou à instalação de aplicativos maliciosos. Além disso, a promessa de ofertas pode ser usada para induzir a vítima a preencher formulários ou entregar dados financeiros, gerando os ganhos financeiros que, no final das contas, é o intuito de fraudes desse tipo.

Como descobrir se meus dados vazaram

Bancos de dados desse tipo, quando se tornam público, podem ser acessados por qualquer um, desde bandidos até especialistas em segurança. E é com esse tipo de informação que é alimentado o Have I Been Pwned?, um dos principais sites para verificação sobre a presença de usuários em volumes vazados.

Criação do especialista em segurança Troy Hunt, que também trabalha para a Microsoft, o serviço não dá acesso a todos os dados, claro, mas permite que cada um verifique se o próprio e-mail aparece em dezenas de vazamentos já registrados no mundo da tecnologia. E mais recentemente, com a brecha detectada no Facebook, números de telefone também passaram a serem aceitos para checagem na plataforma.

O funcionamento é simples, bastando acessar o site haveibeenpwned.com e inserir seu e-mail. No caso do telefone, é preciso usar o formato internacional, que para os brasileiros, começa com o código 55, seguido do DDD e do número, sem espaços.

A mensagem em verde, na imagem acima, indica que suas informações não estão presentes em nenhum vazamento, uma ótima notícia. Entretanto, aquela envolta em vermelho diz o contrário e informa que seu e-mail ou telefone celular, sim, acabou vazando pela ação de criminosos e você deve prestar atenção ou tomar atitudes em relação a isso. As listas exibidas pelo Have I Been Pwned? Incluem informações sobre os incidentes em si, seus responsáveis e os dados envolvidos como e-mail, senhas (passwords), nomes de usuário (username), localização geográfica (geographic locations), data de nascimento (date of birth), entre outros.

Outras ferramentas também podem ser usadas, como uma integrada ao navegador Google Chrome que analisa automaticamente as senhas armazenadas no browser. Uma vez ativado pelo endereço passwords.google.com, o sistema faz verificações em tempo real e indica problemas de segurança, como credenciais comprometidas, fracas ou repetidas, além de links que levam o usuário diretamente aos serviços para realizar a troca.

O que fazer em caso de vazamento

As atitudes a serem tomadas dependem do nível da brecha detectada. No caso do Facebook, por exemplo, senhas ou dados financeiros não fazem parte do volume, então, as recomendações são as já citadas: tomar cuidado com ligações, mensagens de texto ou e-mails que possam ser fraudulentos, evitando clicar em links, preencher cadastros ou entregar mais informações sem ter certeza da legitimidade do contato.

"Com os números de celular e nomes associados às contas conhecidos, os ataques de phishing são uma possibilidade", explica Fabio Assolini, analista sênio de segurança da Kaspersky. Além disso, ele cita a presença de IDs das contas do Facebook junto ao volume, que podem levar a nomes de usuário e, daí, combinados a outros vazamentos, criminosos podem assumir o controle de contas que não estejam devidamente protegidas. "Eles podem se passar pela vítima e pedir ajuda financeira a amigos e familiares ou espalhar malwares a eles", completa.

Em caso de vazamento de senha, o ideal é alterar não apenas a do serviço vulnerável, mas também de todos os outros que compartilhem a mesma combinação. Evite repetir palavras-chave e use sempre combinações aleatórias e difíceis de serem adivinhadas, recorrendo a aplicativos que gerenciam tais informações como maneira de acessar as plataformas de maneira fácil. Considere, ainda, ativar mecanismos de autenticação em duas etapas, pelo menos, nas contas principais, de forma que, mesmo tendo suas credenciais, bandidos não sejam capazes de acessá-las.

• Engenharia social: o que é e como não ser vítima?
• Como agir após cair em um golpe cibernético?

Caso seus dados financeiros acabem vazando, o ideal é manter o olho vivo em faturas de cartão de crédito e movimentações suspeitas na conta bancária, avisando o banco imediatamente sobre o comprometimento. O mesmo também vale para meios de pagamento, como aplicativos, que devem ser protegidos por senhas fortes e autenticação em duas etapas.

Vale a pena, ainda, manter aplicativos antivírus e soluções de segurança sempre ativas e atualizadas no celular e computador, bem como aplicar os updates do sistema operacional e outros softwares utilizados no dia a dia. Assim, as vulnerabilidades mais comuns acabam sendo mitigadas de forma automática e, muitas vezes, antes mesmo de chegarem aos usuários.

Por fim, Assolini indica ainda um cuidado com o tipo de informação que é compartilhada nas redes sociais, com informações sensíveis devendo ser mantidas em sigilo. Ele indica, ainda, uma ferramenta de checagem de privacidade da Kaspersky, que permite aos usuários indicarem o nível de proteção pretendida, plataformas e redes sociais usadas para obterem orientações sobre medidas que devem ser tomadas nas contas.