Facebook tem nova brecha que pode expor milhões de usuários

Abril não está sendo o melhor dos meses para o Facebook, com a descoberta de mais uma segunda brecha grave na privacidade de seus usuários sendo descoberta em questão de semanas. Agora, a falha envolve um software capaz de ligar listas de e-mails vazados a perfis na rede social, mesmo as contas ou suas informações dos usuários estiverem configurados de forma privada.

• Memorando interno aponta que Facebook pretende "normalizar" vazamentos de dados
• Como saber se meus dados vazaram do Facebook?
• Um em cada oito smartphones no Brasil está infectado com malwares

O funcionamento da falha foi registrado em vídeo por um pesquisador de segurança que não quis ser identificado. Nas imagens, ele usa uma ferramenta chamada Facebook Email Search v1.0, com seu funcionamento ligado a uma lista de 65 mil endereços de correio eletrônico e cerca de 200 perfis falsos na rede social, comprados por cerca de US$ 10, pouco menos de R$ 60. Com tais informações, é feita uma varredura que, apenas nos primeiros três minutos, foi capaz de ligar quase seis mil logins a contas presentes na plataforma, muitas delas privadas.

Segundo o especialista, em pleno funcionamento, a ferramenta seria capaz de analisar até cinco milhões de endereços por dia. Depois, de posse das informações, criminosos poderiam executar outras atividades maliciosas, seja tentando invadir os perfis ou utilizando as informações para a aplicação de golpes, praticar extorsão ou roubar mais dados. Para piorar as coisas, o pesquisador disse ter comunicado o Facebook sobre a brecha, mas a rede social não teria achado o problema “importante o bastante” para ser corrigido.

O Facebook se pronunciou oficialmente apenas depois que a imprensa internacional recebeu a denúncia do caso, mas sem confirmar o comentário sobre a importância ou não da descoberta. Segundo a empresa, houve um erro no tratamento da questão em seu programa de recompensas por caça a bugs, com a entrada relativa a essa falha sendo fechada sem que nem mesmo fosse apresentada aos times responsáveis.

Em nota, a rede social agradeceu ao trabalho do pesquisador e disse estar tomando as primeiras ações para mitigar a coleta de dados, enquanto trabalha para entender melhor a vulnerabilidade e encontrar outras possíveis brechas. Segundo a empresa, a técnica utilizada no vídeo já foi desabilitada e não pode mais ser utilizada para obtenção das informações dos usuários.

Esse tipo de atividade, conhecida como raspagem de dados, não necessariamente configura um vazamento, ainda que, neste caso, informações privadas estejam disponíveis no volume resultante. Ainda assim, as informações não estão disponíveis da maneira entregue pela aplicação, em bancos organizados que ligam e-mails a perfis, o que acaba resultando em uma vulnerabilidade que coloca a privacidade dos utilizadores em risco.

Fonte: Ars Technica