Milhões de usuários do Facebook têm dados vazados na internet

Os dados pessoais de dezenas de milhões de usuários do Facebook vazaram na internet no final do ano passado, expondo informações como nomes, endereços de e-mail, números de telefone e outros detalhes pessoais publicados em perfis na rede social. As informações apareceram em um servidor exposto da rede e também circularam em fóruns usados por hackers, tendo ressurgido pelo menos uma vez desde sua disponibilização inicial e posterior remoção.

O número de usuários atingidos é aproximado pois o vazamento é constituído de diferentes entradas, em alguns casos trazendo várias referências a uma mesma vítima. No total, são 309 milhões de entradas nos bancos de dados vazados, com 267,1 milhões no primeiro e pouco mais de 40 milhões no segundo.

O volume foi descoberto pelo pesquisador em segurança Bob Diachenko, em parceria com o site Comparitech, e estava disponível em um cluster Elasticsearch. De acordo com o especialista, aparentemente as informações não são oriundas de uma brecha direta nos sistemas do Facebook, e sim de um método chamado scraping.

Operações desse tipo envolvem softwares automatizados que abusam das APIs da rede social para coletar o máximo de informações disponíveis de seus usuários. Entretanto, isso também faria com que os dados coletados fossem antigos, uma vez que o Facebook impediu o uso desse método em 2018.

De acordo com Diachenko, hackers baseados no Vietnã seriam os responsáveis pelo ato, com duas versões diferentes do banco de dados aparecendo na internet em um intervalo de quatro meses — a primeira surgiu em dezembro de 2019, enquanto a segunda, contendo ainda mais informações, apareceu neste início de março.

A ideia de Diachenko é que os servidores estão sendo vendidos por hackers para a realização de ataques de phishing ou prática de outros golpes, já que o volume trazia uma página de login e uma nota de boas-vindas. O relatório descarta a possibilidade de um comprometimento da própria infraestrutura do Facebook, já que, para que o processo de scraping funcionasse, as informações disponíveis nos perfis precisavam ser públicas.

Isso também faz com que essa nem mesmo seja a primeira vez que um volume desse tipo aparece na internet. Em setembro de 2019, um banco de dados com mais de 419 milhões de registros como números de telefone, nomes e IDs também foi localizado. Nesse caso, também se tratavam de dados com pouco mais de um ano de idade e fruto de uma época em que o scraping ainda era possível por meio da API da rede social.

A Comparitech informa que o maior risco aos usuários atingidos é o uso de suas informações pessoais em golpes de phishing ou engenharia social. Por isso, os usuários devem ficar atentos a mensagens que cheguem por e-mail, SMS ou mensageiros instantâneos solicitando mais informações pessoais ou com links que levem ao download de soluções.

Além disso, é bom acessar as configurações de segurança do Facebook e limitar o acesso de terceiros às informações dos perfis, usando as opções para definir quem, se alguém, terá acesso a determinados dados. Além disso, vale a pena ativar a opção que impede que mecanismos de busca cataloguem as páginas publicamente.

Em contato com o Canaltech, o Facebook disse estar investigando o caso, mas não deu mais declarações sobre o assunto.

Fonte: Comparitech