Facebook pede informações de usuários e mais dois casos de exposição de dados são descobertos
Créditos: GoHacking

Facebook pede informações de usuários e mais dois casos de exposição de dados são descobertos

Os pesquisadores compararam o conteúdo de um dos casos ao coletado pela Cambridge Analytica

21/03/2019 às 15:03
Notícia

Falha divulgada (e corrigida) ameaça expor senhas de milhões ...

Milhões de senhas foram armazenadas em texto escrito nos servidores do Facebook

Alguns novos usuários do Facebook estavam recebendo solicitações para fornecer seus endereços de e-mail e senhas para registrar contas, conforme relatado por Kevin Poulson, da Daily Beast, no dia 2 de abril. Até aí, nada muito suspeito. Porém, pesquisadores da empresa de segurança em nuvem UpGuard informaram que descobriram dois caches de dados de usuários da rede social publicamente acessíveis, criados por aplicativos de terceiros conectados à plataforma do Facebook.

 

O começo da história

A prática um pouco suspeita de pedir as informações dos usuários foi notada pela primeira vez por um desenvolvedor de software e especialista em segurança da informação chamado “e-sushi”. As solicitações foram feitas para usuários com muitos serviços de hospedagem de e-mail baseados na Web. O Gmail do Google não estava entre eles, pois o Facebook usava o protocolo OAuth para verificar as contas do Gmail. Portanto, a verificação com uma senha de e-mail não era necessária. 

Em resposta ao Daily Beast, um porta-voz do Facebook disse que as senhas de e-mail não foram armazenadas pelo próprio Facebook. Mas, dados os problemas anteriores da plataforma com esse tipo de situação, essa declaração foi recebida com certo ceticismo.

Continua após a publicidade

O porta-voz também disse que a empresa estava encerrando a prática de solicitar senhas de e-mail para contas de webmail.

 

Os envolvidos

Ambos os caches foram hospedados pelo Simple Storage Service (S3) da Amazon Web Services (AWS), na nuvem pública da AWS, e configurados para permitir o download público de arquivos. As exposições relatadas foram conectadas a aplicativos relacionados ao Facebook de duas empresas diferentes:

O primeiro, da Cultura Colectiva - uma empresa de mídia mexicana - somava um volume de 146 gigabytes de dados, contendo mais de 540 milhões de registros, incluindo IDs de conta, nomes do Facebook, reações associadas, “curtidas” e comentários, entre outras coisas. Os pesquisadores do UpGuard compararam o escopo do conteúdo ao coletado pela Cambridge Analytica.

Dados contidos no conjunto exposto da Cultura Colectiva

O segundo cache era um backup de banco de dados de "um aplicativo integrado ao Facebook chamado At the Pool". O banco de dados incluía rótulos de coluna sugerindo que os dados incluíam IDs de usuários e nomes, amigos, curtidas, fotos, eventos, grupos, registros de localização e outros dados de perfil, incluindo músicas, livros, filmes e interesses favoritos. Havia também uma coluna de "senha", mas as senhas eram "presumivelmente para o aplicativo 'At the Pool', e não para a conta do Facebook do usuário".

Exemplo reduzido de dados do conjunto exposto no At the Pool

Continua após a publicidade

A quantidade de dados do At the Pool não era tão grande quanto o conjunto da Cultura Colectiva, mas continha senhas em texto simples (ou seja, desprotegidas) para 22.000 usuários.

 

Conclusão

Os depósitos do S3 que contêm ou continham os dados foram encerrados ou protegidos. Para a loja Cultura Colectiva, no entanto, demorou quase quatro meses a partir da data da primeira divulgação para as informações ser protegidas.

A Cultura Colectiva nunca respondeu a e-mails alertando-os sobre os dados expostos. Devido aos dados estarem no armazenamento em nuvem S3 da Amazon, o UpGuard notificou a Amazon Web Services no dia 28 de janeiro. A AWS enviou uma resposta em 1º de fevereiro, informando que o proprietário do bucket estava ciente da exposição

Uma resposta finalmente chegou ontem, dia 3, quando o Facebook foi contatado por um jornalista que pedia comentários sobre a proteção desses dados (que agora estão devidamente protegidos).

O backup do aplicativo “At the Pool” foi colocado offline antes que o UpGuard pudesse notificar os desenvolvedores. O aplicativo não está mais ativo e a empresa proprietária pode ter deixado de existir.

28/02/2019 às 18:35
Artigo

Phishing: Como um login de e-mail roubado pode comprometer um...

Os negócios estão cada vez mais interessantes para os cibercriminosos

Para os desenvolvedores de aplicativos no Facebook, parte do recurso da plataforma é o acesso a uma parte dos dados gerados pelos usuários e sobre eles. Para a Cultura Colectiva, por exemplo, os dados sobre respostas a cada postagem permitem o ajuste de um algoritmo que prevê qual conteúdo futuro gerará mais tráfego. 

O Facebook prometeu limitar a capacidade desses desenvolvedores de extrair dados pessoais de seus serviços após o escândalo Cambridge Analytica, mas parece que, mesmo com as novas políticas da empresa, ainda existem aspectos a serem melhorados.

Os dados expostos em cada um desses conjuntos não existiriam sem o Facebook, mas eles não estão sob o controle do Facebook. Em cada caso, a plataforma facilita a coleta de dados para terceiros, que se tornam responsáveis por sua segurança.

Fonte: UpGuard, ArsTechnica
User img

Saori Almeida

Saori Almeida é natural do Rio Grande do Sul, técnica em administração formada pelo Centro Tecnológico de Caxias do Sul (CETEC) e estudante de Jornalismo na Universidade Federal de Santa Catarina (UFSC). Gosta da cultura asiática e nerd no geral e tem interesse crescente por tecnologia e games desde pequena - gosto que se intensifica diariamente na redação.

Semana BLACK FRIDAY: 7 DICAS para COMPRAR MUITO BARATO na INTERNET!

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.