Banco de dados expõe telefones de 419 milhões de usuários do Facebook
O pesquisador de segurança Sanyam Jain encontrou um banco de dados totalmente exposto na web, sem nenhuma senha, com informações coletadas de até 419 milhões de usuários do Facebook. Mesmo relacionando telefones, países e nomes dos usuários, o banco de dados não era de responsabilidade do próprio Facebook.
Após uma denúncia de Jain e do site TechCrunch, o banco de dados foi retirado do ar pelo provedor de hospedagem do servidor. Os responsáveis pela manutenção e criação do banco de dados, no entanto, não foram identificados.
O Facebook contestou a contagem de registros feita pelo “TechCrunch” e pelo especialista. Segundo a rede social, o servidor tinha aproximadamente 220 milhões de registros, e não 419 milhões.
De acordo com o Facebook, as informações podem ter sido obtidas a partir da técnica de “scraping”, que envolve o uso de programas ou “robôs” para navegar pela rede social e armazenar os detalhes dos perfis.
Os registros não seriam recentes. O Facebook fez ajustes no ano passado para impedir a identificação de contas por meio do número de telefone. Além da busca no próprio site, a recuperação de senha pelo número de telefone também restringe a identificação do perfil, mostrando o perfil apenas nos casos em que o Facebook reconhece a rede de acesso.
Como os responsáveis pelo servidor não foram identificados, não sabe de que forma esses dados eram utilizados. O Facebook destacou que nenhuma conta foi comprometida.
Facebook só identifica o perfil na recuperação de senha por telefone quando reconhece a rede de acesso do usuário. — Foto: Reprodução
Facebook restringe pesquisas
A prática de coleta de informações no Facebook por esse método ocorre pelo menos desde 2010, quando um pacote com dados de 100 milhões de perfis foi colocado na internet para alertar os usuários sobre os riscos de deixar qualquer informação pública na rede social. Desde então, o Facebook tem restringido o acesso a consultas e listas de perfis. O acesso ao diretório de perfis, por exemplo, exige verificações constantes de segurança para evitar o download de dados por robôs.
Como o Facebook permitia encontrar usuários pelo número de telefone, um hacker poderia tentar todos os números de telefone consecutivamente, identificando o usuário a quem o número pertencia.
Um problema semelhante foi identificado no Snapchat em 2014, mas o Facebook só adotou restrições em 2018. No ano passado, além do caso Cambridge Analytica, que rendeu uma multa bilionária ao Facebook, uma brecha permitiu coletar informações configuradas como particulares.
Em junho deste ano, o Facebook passou a restringir o uso da GraphSearch para bloquear consultas especiais que relacionavam informações e perfis a partir de critérios que não estão disponíveis na ferramenta de consulta da própria rede social. (G1)