Quem presumiu que o caso Cambridge Analytica era só a ponta do iceberg, acertou: depois do escândalo, o Facebook tratou de investigar a atuação de aplicativos de terceiros em sua rede social e confirmou que um deles, o NameTests.com, pode ter exposto dados de 120 milhões de usuários.
O problema foi descoberto por um pesquisador de segurança que se identifica como Inti De Ceukelaire. Ele passou a investigar apps no Facebook depois de a companhia ter anunciado, em abril, um programa de recompensas para quem encontrasse casos de uso abusivo da plataforma.
De Ceukelaire chegou ao NameTests.com após pesquisar quais aplicativos de quizzes seus contatos na rede social mais utilizavam. Para ele, fazia sentido começar com esse tipo de ferramenta: já não é segredo que, por trás do aparente entretenimento que testes e quizzes oferecem, costuma haver outras intenções.
Com cerca de 120 milhões de usuários, o NameTests.com é um dos serviços de quiz mais populares do Facebook. Ao fazer testes respondendo a um quiz, De Ceukelaire percebeu que o aplicativo obtinha informações por meio de uma URL específica sem o usuário perceber.
Essas informações incluem nome, sexo, localização, idade e data de aniversário. Os dados podiam ser acessados com relativa facilidade por terceiros, pois eram expostos por meio de um código em JavaScript.
Como se não bastasse, dados adicionais como fotos, postagens e lista de contatos também podiam ser repassados por meio de um token de acesso que o NameTests.com fornecia. A variedade de dados dependia do tipo de quiz respondido.
Não termina aí. De Ceukelaire notou que o NameTests.com repassava dados mesmo depois de o usuário ter excluído o app da sua conta. A única forma de proteger as informações pessoais era excluindo os cookies do navegador. O aplicativo não oferecia nenhum recurso para esse fim.
A Social Sweethearts, companhia alemã responsável pelo NameTests.com, foi contatada para comentar o assunto. A empresa respondeu que não há provas de que os dados extraídos por meio do seu aplicativo tenham sido repassados a terceiros ou utilizados indevidamente, mas que medidas estão sendo tomadas para evitar esse risco.
Mas o que mais impressiona — mas não surpreende — é a demora do Facebook para agir. A companhia foi alertada por De Ceukelaire em 22 de abril (o Facebook diz que foi no dia 27) e respondeu no dia 30 do mesmo mês dizendo que iria investigar o problema. Sem retorno, o pesquisador fez novo contato em 14 de maio. Uma semana depois, o Facebook explicou a ele que a investigação poderia durar até seis meses.
O problema é que, enquanto isso, os dados dos usuários do NameTests.com continuavam expostos. De Ceukelaire notou que apenas na última segunda-feira (25), dois meses após a primeira notificação, o aplicativo deixou de ser vulnerável. Dois dias depois, o Facebook confirmou que o problema foi corrigido.
Um detalhe que chama atenção é que, apesar de ter confirmado os riscos do aplicativo, o Facebook não baniu o NameTests.com da sua plataforma. A companhia se contentou com a correção do problema, sugerindo que a investigação constatou falha, não atividade deliberadamente maliciosa.
Não há certeza a respeito das decisões sobre o caso porque o Facebook não deu detalhes sobre a (suposta) investigação, tampouco explicou a razão de tamanha demora na verificação do problema.
No fim das contas, De Ceukelaire foi recompensado com US$ 8 mil pela descoberta da vulnerabilidade. Metade desse valor foi repassado a uma instituição indicada por ele: a Freedom of the Press Foundation, que defende a liberdade de imprensa.
Não custa reforçar o recado que foi dado na época do escândalo Cambridge Analytica: muito cuidado com esses populares testes no Facebook que mostram qual personagem de desenho animado você seria, quais são as suas principais qualidades, como você ficaria em uma capa de revista e assim por diante.
Com informaçõs: TechCrunch.