Em nova crise, Facebook tem falha que expõe e-mails de usuários

O Facebook tem um nova falha de privacidade, desta vez relacionada aos e-mails dos usuários: um pesquisador entrevistado pelo Ars Technica demonstrou como uma nova ferramenta intitulada “Facebook Email Search v1.0” pode relacionar perfis da rede social a endereços eletrônicos mesmo quando o internauta configurar sua conta para que esta informação não seja pública.

De acordo com o especialista que pediu ao site pelo anonimato, a ferramenta consegue processar cerca de cinco milhões de e-mails por dia, efetivamente conectando todos os endereços a contas criadas no Facebook por meio deles. Ainda segundo o pesquisador, ele decidiu tornar a situação pública após o Facebook julgar que o problema de segurança “não era importante” o suficiente para que fosse consertado via patch.

Leia mais

• Como saber se sua conta foi uma das 533 milhões que vazaram do Facebook
• Irlanda investigará o Facebook pelo vazamento de dados de 533 milhões de usuários
• Como o Facebook pode ser punido após o vazamento de dados?

O funcionamento da ferramenta foi demonstrado em vídeo, sob a condição de que o Ars Technica não o publicasse. No teste, o pesquisador alimenta o programa com uma lista de 65 mil emails. “Como você pode ver pelos logs de progresso, estou recebendo uma quantidade significativa de resultados. Eu gastei, talvez, uns 10 dólares para comprar cerca de 200 contas inativas do Facebook. E em três minutos, eu já consegui fazer com 6 mil contas”.

O programa Facebook Email Search v1.0 tirava proveito de uma falha no desenvolvimento front-end do Facebook, que teve o problema de privacidade dos e-mails levado a eles pelo pesquisador. Segundo ele, a vulnerabilidade é, essencialmente, a mesma que levou a um vazamento de informações ocorrido no início do ano – e que acabou corrigida por um patch. “A grosso modo, é a mesma falha”, disse o especialista. “Por alguma razão, apesar de eu demonstrar isso ao Facebook e deixá-los cientes, eles me afirmaram diretamente que não tomariam ação contra isso”.

Em um comunicado, o Facebook disse que a não averiguação do problema foi um erro cometido pela equipe: “parece que nós erroneamente fechamos esse relato de bug antes de direcioná-lo ao time apropriado. Nós agradecemos ao pesquisar pelo compartilhamento desta informação e estamos tomando as ações iniciais para minimizar esse problema enquanto estudamos mais para melhor compreender suas descobertas”.

Um porta-voz da empresa ainda disse que o time de segurança do Facebook já resolveu a falha ao desabilitar a técnica mostrada no vídeo, mas não respondeu se um ou mais de seus especialistas de fato responderam que o problema não era importante para um patch.

Essa é apenas mais uma situação problemática no meio de tantas que envolvem o Facebook e a proteção à privacidade de seus usuários. Há pouco menos de um mês, a rede viu expostos por hackers os números de telefone de mais de 500 milhões de membros – brasileiros inclusos -, além de nomes completos, datas de nascimento, biografias, nomes de usuário e, em alguns casos, endereços de e-mail.

O Facebook, via e-mail, instruiu seus funcionários a tratarem o assunto como algo corriqueiro na indústria, além de fazer a distinção entre “scrapping” (o método utilizado no vazamento mais recente) e “ataque hacker”. O problema foi que esse mesmo e-mail foi acidentalmente encaminhado a um repórter do site holandês Datanews, que publicou seu conteúdo, orientando seu time de relações públicas e assessoria de imprensa a “posicionar isso como um problema de todo o mercado e normalizar o fato de que essas atividades ocorrem regularmente”.

No que tange ao Facebook Email Search v1.0, não há indícios de que a ferramenta tenha sido usada em uma escala massiva por atores mal intencionados, mas a falha, segundo o pesquisador, era grave demais para ser ignorada.

Fonte: Ars Technica / Datanews