Banco de dados aberto na web expõe dados e telefones de 419 milhões de usuários do Facebook

#Notícia Publicado por okardec, em Mon, 09 Sep 2019 05:19:31 -0300 [Full].

IMAGEaHR0cHM6Ly9zdGF0aWMuZ2FtZXZpY2lvLmNvbS9pbWFnZW5zL3VwbG9hZC9iaWcvMS8wMDA4NTguanBn

Pacote não pertencia ao Facebook e teria sido resultado de ação antiga de coleta de dados públicos na rede social.

O pesquisador de segurança Sanyam Jain encontrou um banco de dados totalmente exposto na web, sem nenhuma senha, com informações coletadas de até 419 milhões de usuários do Facebook. Mesmo relacionando telefones, países e nomes dos usuários, o banco de dados não era de responsabilidade do próprio Facebook.

Após uma denúncia de Jain e do site TechCrunch, o banco de dados foi retirado do ar pelo provedor de hospedagem do servidor. Os responsáveis pela manutenção e criação do banco de dados, no entanto, não foram identificados.

O Facebook contestou a contagem de registros feita pelo "TechCrunch" e pelo especialista. Segundo a rede social, o servidor tinha aproximadamente 220 milhões de registros, e não 419 milhões.

De acordo com o Facebook, as informações podem ter sido obtidas a partir da técnica de "scraping", que envolve o uso de programas ou "robôs" para navegar pela rede social e armazenar os detalhes dos perfis.

Os registros não seriam recentes. O Facebook fez ajustes no ano passado para impedir a identificação de contas por meio do número de telefone. Além da busca no próprio site, a recuperação de senha pelo número de telefone também restringe a identificação do perfil, mostrando o perfil apenas nos casos em que o Facebook reconhece a rede de acesso.

Como os responsáveis pelo servidor não foram identificados, não sabe de que forma esses dados eram utilizados. O Facebook destacou que nenhuma conta foi comprometida

Facebook restringe pesquisas

A prática de coleta de informações no Facebook por esse método ocorre pelo menos desde 2010, quando um pacote com dados de 100 milhões de perfis foi colocado na internet para alertar os usuários sobre os riscos de deixar qualquer informação pública na rede social. Desde então, o Facebook tem restringido o acesso a consultas e listas de perfis. O acesso ao diretório de perfis, por exemplo, exige verificações constantes de segurança para evitar o download de dados por robôs.

Como o Facebook permitia encontrar usuários pelo número de telefone, um hacker poderia tentar todos os números de telefone consecutivamente, identificando o usuário a quem o número pertencia.

Um problema semelhante foi identificado no Snapchat em 2014, mas o Facebook só adotou restrições em 2018. No ano passado, além do caso Cambridge Analytica, que rendeu uma multa bilionária ao Facebook, uma brecha permitiu coletar informações configuradas como particulares.

Em junho deste ano, o Facebook passou a restringir o uso da GraphSearch para bloquear consultas especiais que relacionavam informações e perfis a partir de critérios que não estão disponíveis na ferramenta de consulta da própria rede social.