OBS: Post atualizado e levemente reescrito, pois saiu uma nova notícia de vazamento de dados do Facebook logo depois que foi publicado. Era para ser um artigo desatualizado, mas os Deuses dos Vazamentos de Dados tornaram ele super atual!
Quem diria, mais de uma semana depois de explodir
a notícia de que funcionários do Facebook tinham acesso a senhas dos usuários, ficamos sabendo que
foram descobertas algumas bases de dados expostas na Amazon com informações dos usuários do Facebook.
Resumindo isso tudo: a história da semana passada é que haviam encontrado dados expostos de usuários em servidores internos do Facebook, dentro da rede deles. Agora, a bomba é que encontraram dados armazenados em servidores na nuvem, e nesse caso são daqueles aplicativos que ficavam pegando dados da galera em troca de falar alguma baboseira sobre você.
A história surgiu primeiro no dia 21 de março no
blog KrebsOnSecurity, do excelente jornalista Brian Krebs. Em seguida ela se espalhou pela imprensa, incluindo
uma reportagem da WIRED, e foi posteriormente confirmada pelo próprio Facebook. A notícia parecia bizarra demais para ser verdade, mas era verdade mesmo: funcionários do Facebook tinham acesso as senhas dos usuários, e elas eram armazenadas em aberto.
Segundo o artigo do Brian Krebs, um funcionário do Facebook lhe contou, sob condição de se manter anônimo, que a empresa estava passando por uma investigação interna pois descobriram que os funcionários criaram diversos aplicativos internos que registravam dados de acesso dos usuários do Facebook os armazenavam em servidores internos da empresa. Entre as informações coletadas por esses scripts marotos, também estavam as senhas não criptografadas dos usuários, que além de serem coletadas, eram armazenadas em texto simples!
Como resultado, as senhas de algo em torno de "centenas de milhões" (entre 200 milhões e 600 milhões) de usuários do Facebook estavam armazenadas em aberto e acessíveis por milhares de funcionários do Facebook. Em alguns casos, as senhas eram antigas, até 2012. Também foram afetados os usuários do Facebook Lite e do Instagram. Segundo Krebs, cerca de 2.000 engenheiros ou desenvolvedores do Facebook fizeram aproximadamente nove milhões de consultas nessas bases de dados.
O Facebook, em sua defesa,
disse que "essas senhas nunca foram visíveis para ninguém fora do Facebook e não encontraram nenhuma evidência de que alguém interno tenha abusado ou acessado indevidamente essas senhas".
A Wired correu em sugerir que todo mundo trocasse a sua senha no Facebook imediatamente. Afinal, o fato do Facebook dizer que não detectaram abuso no acesso a essas senhas não quer dizer que o acesso e o uso indevido não aconteceu ou que não poderá acontecer algo no futuro. As informações estavam disponíveis, logo qualquer funcionário mal intencionado pode ter copiado as senhas que teve acesso. Isso impacta não apenas o nosso login do Facebook e do Instagram, mas por tabela essas senhas podem ser utilizadas em qualquer outro serviço online que use o login no Facebook para autenticação.
Sarcasmo: Pelo menos essa história serviu para aprendermos algo novo...
No dia 03 de abril, ficamos sabendo que uma empresa
identificou informações de usuários do Face armazenadas em duas bases de dados na Amazon, expostas ao público na Internet, sem proteção. A maior base continha registros de mais de 540 milhões de dados de usuários, pertencentes a empresa mexicana Cultura Colectiva. Estas informações incluíam nomes de perfis, comentários e reações. A outra base de dados, bem menor, pertencia ao extinto aplicativo "At the Pool", e continha, entre outras coisas, fotos e senhas de 22 mil usuários.
Nesse caso, a culpa não é diretamente do Facebook. Até antes de estourar o escândalo da
Cambridge Analytica, existiam centenas (ou milhares?) de empresas e desenvolvedores que criavam aplicativos capazes de interagir com a plataforma do Facebook e coletar grandes quantidades de dados de usuários. Apesar da coleta ser consentida pelos usuários ("usuário sendo usuário": "você troca seus dados por um gig engraçadinho?"), não havia controle sobre como esses terceiros coletavam, usavam, armazenavam e protegiam essas informações. E, pelo que acabamos de ver, muitas dessas bases estão esquecidas por aí, desprotegidas e expostas na Internet :(
Para saber mais: