Facebook pede informações de usuários e mais dois casos de exposição de dados são descobertos
Créditos: GoHacking

Facebook pede informações de usuários e mais dois casos de exposição de dados são descobertos

Os pesquisadores compararam o conteúdo de um dos casos ao coletado pela Cambridge Analytica

21/03/2019 às 15:03
Notícia

Falha divulgada (e corrigida) ameaça expor senhas de milhões ...

Milhões de senhas foram armazenadas em texto escrito nos servidores do Facebook

Alguns novos usuários do Facebook estavam recebendo solicitações para fornecer seus endereços de e-mail e senhas para registrar contas, conforme relatado por Kevin Poulson, da Daily Beast, no dia 2 de abril. Até aí, nada muito suspeito. Porém, pesquisadores da empresa de segurança em nuvem UpGuard informaram que descobriram dois caches de dados de usuários da rede social publicamente acessíveis, criados por aplicativos de terceiros conectados à plataforma do Facebook.

 

O começo da história

A prática um pouco suspeita de pedir as informações dos usuários foi notada pela primeira vez por um desenvolvedor de software e especialista em segurança da informação chamado “e-sushi”. As solicitações foram feitas para usuários com muitos serviços de hospedagem de e-mail baseados na Web. O Gmail do Google não estava entre eles, pois o Facebook usava o protocolo OAuth para verificar as contas do Gmail. Portanto, a verificação com uma senha de e-mail não era necessária. 

Em resposta ao Daily Beast, um porta-voz do Facebook disse que as senhas de e-mail não foram armazenadas pelo próprio Facebook. Mas, dados os problemas anteriores da plataforma com esse tipo de situação, essa declaração foi recebida com certo ceticismo.

O porta-voz também disse que a empresa estava encerrando a prática de solicitar senhas de e-mail para contas de webmail.

 

Os envolvidos

Ambos os caches foram hospedados pelo Simple Storage Service (S3) da Amazon Web Services (AWS), na nuvem pública da AWS, e configurados para permitir o download público de arquivos. As exposições relatadas foram conectadas a aplicativos relacionados ao Facebook de duas empresas diferentes:

O primeiro, da Cultura Colectiva - uma empresa de mídia mexicana - somava um volume de 146 gigabytes de dados, contendo mais de 540 milhões de registros, incluindo IDs de conta, nomes do Facebook, reações associadas, “curtidas” e comentários, entre outras coisas. Os pesquisadores do UpGuard compararam o escopo do conteúdo ao coletado pela Cambridge Analytica.

Dados contidos no conjunto exposto da Cultura Colectiva

O segundo cache era um backup de banco de dados de "um aplicativo integrado ao Facebook chamado At the Pool". O banco de dados incluía rótulos de coluna sugerindo que os dados incluíam IDs de usuários e nomes, amigos, curtidas, fotos, eventos, grupos, registros de localização e outros dados de perfil, incluindo músicas, livros, filmes e interesses favoritos. Havia também uma coluna de "senha", mas as senhas eram "presumivelmente para o aplicativo 'At the Pool', e não para a conta do Facebook do usuário".

Exemplo reduzido de dados do conjunto exposto no At the Pool

A quantidade de dados do At the Pool não era tão grande quanto o conjunto da Cultura Colectiva, mas continha senhas em texto simples (ou seja, desprotegidas) para 22.000 usuários.

 

Conclusão

Os depósitos do S3 que contêm ou continham os dados foram encerrados ou protegidos. Para a loja Cultura Colectiva, no entanto, demorou quase quatro meses a partir da data da primeira divulgação para as informações ser protegidas.

A Cultura Colectiva nunca respondeu a e-mails alertando-os sobre os dados expostos. Devido aos dados estarem no armazenamento em nuvem S3 da Amazon, o UpGuard notificou a Amazon Web Services no dia 28 de janeiro. A AWS enviou uma resposta em 1º de fevereiro, informando que o proprietário do bucket estava ciente da exposição

Uma resposta finalmente chegou ontem, dia 3, quando o Facebook foi contatado por um jornalista que pedia comentários sobre a proteção desses dados (que agora estão devidamente protegidos).

O backup do aplicativo “At the Pool” foi colocado offline antes que o UpGuard pudesse notificar os desenvolvedores. O aplicativo não está mais ativo e a empresa proprietária pode ter deixado de existir.

28/02/2019 às 18:35
Artigo

Phishing: Como um login de e-mail roubado pode comprometer um...

Os negócios estão cada vez mais interessantes para os cibercriminosos

Para os desenvolvedores de aplicativos no Facebook, parte do recurso da plataforma é o acesso a uma parte dos dados gerados pelos usuários e sobre eles. Para a Cultura Colectiva, por exemplo, os dados sobre respostas a cada postagem permitem o ajuste de um algoritmo que prevê qual conteúdo futuro gerará mais tráfego. 

O Facebook prometeu limitar a capacidade desses desenvolvedores de extrair dados pessoais de seus serviços após o escândalo Cambridge Analytica, mas parece que, mesmo com as novas políticas da empresa, ainda existem aspectos a serem melhorados.

Os dados expostos em cada um desses conjuntos não existiriam sem o Facebook, mas eles não estão sob o controle do Facebook. Em cada caso, a plataforma facilita a coleta de dados para terceiros, que se tornam responsáveis por sua segurança.

Fonte: UpGuard, ArsTechnica
Tinder vai lançar uma série com temática apocalíptica

Tinder vai lançar uma série com temática apocalíptica

O conteúdo é feito para ser assistido na vertical através do aplicativo


Facebook apresenta Portal TV, dispositivo para videochamadas pela televisão

Facebook apresenta Portal TV, dispositivo para videochamadas pela televisão

Aparelho se conecta via HDMI, custa U$149 e faz chamadas via Whatsapp e Messenger


Facebook está trabalhando com a Ray-Ban no desenvolvimento de seus óculos inteligentes

Facebook está trabalhando com a Ray-Ban no desenvolvimento de seus óculos inteligentes

A empresa pretende tornar os óculos substitutos dos smartphones como conhecemos hoje


Ministério da Justiça investiga Tim por vazamento de dados de clientes

Ministério da Justiça investiga Tim por vazamento de dados de clientes

Operadora pode ser multada em até R$ 10 milhões por causa do incidente


Tesla V10: atualização traz YouTube, Netflix e Cuphead aos veículos

Tesla V10: atualização traz YouTube, Netflix e Cuphead aos veículos

Tudo isso poderá ser utilizado apenas com o carro estacionado