540 milhões de dados de usuários do Facebook foram expostos na internet
Base com 540 milhões de registros do Facebook estavam em servidor sem nenhuma proteção
Base com 540 milhões de registros do Facebook estavam em servidor sem nenhuma proteção
Se 2018 foi um ano ruim para o Facebook, 2019 não vem sendo melhor: a empresa de segurança digital UpGuard reportou nesta semana a descoberta de duas bases de dados com informações pessoais de usuários da rede social. Ambas podiam ser acessadas livremente. Uma delas reunia mais de 540 milhões de registros de contas.
Essa gigantesca base de dados foi encontrada em um servidor da Amazon utilizado pela Cultura Colectiva, plataforma baseada na Cidade do México que gera conteúdo para engajamento online. A empresa afirma ter mais de 45 milhões de seguidores se somados todos os seus canais nas redes sociais.
A base de dados em questão tinha 146 GB de tamanho e continha informações como comentários, curtidas, reações e nomes de usuários. Ela estava armazenada em um servidor da Amazon S3 sem nenhum tipo proteção e podia ser baixada facilmente.
Já a segunda base de dados era muito menor, mas continha dados ainda mais sensíveis de 22 mil usuários, como lista de amigos, registros de interesses, fotos, histórico de check-ins e até senhas em texto puro.
Esse arquivo, também armazenado na Amazon S3, era um backup de um aplicativo para Facebook chamado At the Pool que foi desativado em 2014. As senhas expostas eram para acesso ao aplicativo, mas poderiam representar um risco aos usuários que usavam a mesma combinação para entrar no Facebook.
Ambas as bases foram removidas dos servidores na quarta-feira (3), depois que a Bloomberg alertou o Facebook sobre elas. A companhia emitiu uma nota para dizer que a suas políticas proíbem o armazenamento de informações da rede social em bancos de dados públicos e que, depois do alerta, trabalhou com a Amazon para indisponibilizá-los.
Não há evidências de que esses dados tenham sido usados para fins maliciosos. Mesmo assim, os dois casos são considerados graves porque sugerem que os esforços do Facebook para evitar outro escândalo como o da Cambridge Analytica ainda não são suficientes.
Depois desse episódio, a companhia passou a auditar aplicativos e serviços baseados em sua plataforma. No entanto, as duas bases de dados que estavam expostas evidenciam um problema difícil de detectar: o de empresas que recorrem a serviços nas nuvens para backup sem, no entanto, tomar os devidos cuidados para proteger as bases armazenadas.
Esse aspecto indica que o Facebook ainda tem um longo caminho a percorrer para ter um controle mais rigoroso sobre os dados que aplicativos e serviços de terceiros coletam.
Aplicar mais rigor é essencial: a UpGuard fez o primeiro contato com a Cultura Colectiva para avisá-la da exposição da base de dados em 10 de janeiro e, sem resposta, alertou a Amazon no dia 28 do mesmo mês. Apesar disso, o arquivo só foi removido nesta semana, depois que o Facebook foi contatado pela Bloomberg para se posicionar sobre o assunto.