Facebook confirma ser fonte de vazamento, mas diz que não sofreu invasão
Facebook expôs dados de usuários em recurso para importar contatos; 533 milhões de números de celular foram vazados de graça
Facebook expôs dados de usuários em recurso para importar contatos; 533 milhões de números de celular foram vazados de graça
Um conjunto de arquivos com 533 milhões de números de celular foi divulgado de graça neste final de semana. O Facebook confirma que é a fonte desse vazamento, mas quer deixar claro – por algum motivo – que não foi vítima de uma invasão. Na verdade, isso não foi necessário, porque a rede social expôs os dados de seus usuários em um recurso para importar contatos.
“É importante entender que os agentes mal-intencionados obtiveram esses dados não por meio de hackers em nossos sistemas, mas através da raspagem de nossa plataforma antes de setembro de 2019”, explica o Facebook.
A raspagem, ou scraping, é uma forma automatizada de coletar dados disponíveis na internet. Isso foi usado com uma ferramenta do Facebook que permitia encontrar amigos na rede social através de seus números de celular.
Em 2019, a empresa descobriu que isso estava sendo usado para extrair dados. Por isso, ela impediu que agentes mal-intencionados tentassem imitar o importador de contatos, fazendo upload de diversos números de telefone para ver quais deles tinham perfil no Facebook – até o CEO Mark Zuckerberg foi afetado.
“Estamos confiantes de que o problema específico que permitiu a eles extrair esses dados em 2019 não existe mais”, afirma a empresa. O vazamento não inclui informações financeiras, de saúde ou senhas.
Os dados aparentemente foram coletados até agosto de 2019; a GDPR já estava valendo na Europa desde maio de 2018, e estabelece multa de 2% do faturamento anual para empresas que não notificam vazamentos. Por sua vez, a LGPD (Lei Geral de Proteção de Dados Pessoais) só começou a vigorar em setembro de 2020.
O incidente está sendo investigado na União Europeia e na Rússia; além disso, o Procon-SP quer saber mais detalhes, já que 8 milhões de brasileiros foram afetados.
A rede social garante que está “trabalhando para remover esse conjunto de dados”; mas, conforme apurou o Tecnoblog, os arquivos continuam disponíveis online dias após serem revelados pela imprensa. “Embora nem sempre possamos evitar que conjuntos de dados como esses recirculem ou que novos apareçam, temos uma equipe dedicada que está focada neste trabalho”, afirma o comunicado.
O Facebook finaliza o comunicado com duas dicas para os usuários:
Um trecho específico desse comunicado irritou especialistas de segurança: “a coleta de dados usando recursos destinados a ajudar as pessoas viola nossos termos”.
Troy Hunt, responsável pelo Have I Been Pwned, comentou ironicamente no Twitter: “bem, isso resolve tudo!”. Para John Opdenakker, o posicionamento é “simplesmente patético”.
Com informações: Bleeping Computer.