O que os maiores vazamento de dados de 2021 nos diz sobre Privacidade

O que os maiores vazamento de dados pessoais de 2021 nos diz sobre Privacidade, GDPR e Facebook. Se você ainda não se convenceu da realidade bizarra em torno do facebook, aconselho a ler este artigo até o seu final.

A esta altura, você já devem ter ouvido falar sobre o vazamento de 533 milhões de registros online no Facebook e descoberto se é um dos azarados (na realidade estamos perto de sermos todos “azarados”) usando o excelente site gratuito, Have I Been Pwned , que agora adicionou os detalhes mais recentes da conta do Facebook ao seu grande banco de dados de vazamentos, que atualmente inclui 521 sites pwned, e 11 bilhões de contas pwned.

Para o último vazamento do Facebook, os detalhes incluem número de telefone, ID do Facebook, nome completo, localização, localização anterior, data de nascimento, endereço de e-mail (para alguns), data de criação da conta, status de relacionamento e biografia. Esta é uma informação central e será usada para roubo de identidade, engenharia social, golpes e hacking. Muitos desses dados não podem ser alterados, o que significa que a perda deles é extremamente grave. E ainda assim a resposta oficial do Facebook é esta:

“Acreditamos que os dados em questão foram extraídos dos perfis das pessoas no Facebook por agentes mal-intencionados usando nosso importador de contatos antes de setembro de 2019. Esse recurso foi projetado para ajudar as pessoas a encontrar facilmente seus amigos para se conectar em nossos serviços usando suas listas de contatos.“

O Facebook está tentando estabelecer uma distinção entre alguém invadir seu sistema e exfiltrar os dados pessoais de meio bilhão de contas, e alguém usando as próprias ferramentas do Facebook para exfiltrar dados de meio bilhão de contas. Esta reclamação parece ser uma tentativa de afirmar que não foi culpa da empresa, mas puramente do “ator malicioso”. Seja como você quiser chamá-lo, o fato é que os dados foram acessados por causa de uma vulnerabilidade no design do sistema do Facebook e não é a primeria ou segunda vez. O nosso “amigo” social Facebook já teve inúmeros vazamentos reportados, inlcuindo aqueles que ele próprio viabilizou, ou vendeu, como no caso da Cambridge Analytica em 2018.

Se você ainda não se convenceu da realidade bizarra em torno do facebook, vejamos aqui uma pequena lista baseado em nossas publicações aqui no Blog Minuto da Segurança desde o escândalo da Cambridge Analytica:

Além disso, palavras como “desculpe” são notáveis por sua ausência em toda comunicação da empresa. O Facebook não está apenas tentando fugir da responsabilidade, mas nem mesmo reconhece que deve um pedido de desculpas a meio bilhão de pessoas cujos dados pessoais estão agora circulando pela Internet.

Há outro aspecto importante na tentativa do Facebook de evitar quaisquer consequências graves do vazamento mais recente, especificamente multas de acordo com o GDPR da UE ou das regulamentações Americanas. O Facebook pode ser multado em até 4% de seu faturamento global como punição por não proteger os dados pessoais dos cidadãos da UE. Devido à forma como o GDPR é aplicado, cabe à Comissão Irlandesa de Proteção de Dados (DPC) investigar e decidir se uma multa será aplicada. Como explica o site da DPC :

Como vimos, conjuntos de dados anteriores foram publicados em 2020, 2019 e 2018 relacionados a uma remoção em grande escala do site do Facebook que, na época em que o Facebook informou, ocorreu entre junho de 2017 e abril de 2018, quando o Facebook fechou uma vulnerabilidade em sua funcionalidade de pesquisa de telefone. Como a coleta ocorreu antes do GDPR, o Facebook optou por não notificar isso como uma violação de dados pessoais de acordo com o GDPR.

O conjunto de dados recém-publicado parece incluir o conjunto de dados original de 2018 (pré GDPR) e combinado com registros adicionais, que podem ser de um período posterior. O DPC tentou durante estabelecer todos os fatos e continua a fazê-lo. Não recebeu comunicação proativa do Facebook. Por meio de diversos canais, buscou contato e respostas no Facebook que desde então indicaram que:

“……… com base em nossa investigação até o momento, acreditamos que as informações no conjunto de dados divulgado neste fim de semana (3 e 4 de abril) foram disponibilizadas publicamente e removidas antes das alterações feitas na plataforma em 2018 e 2019. Como tenho certeza de que você pode apreciar, o os dados em questão parecem ter sido coletados por terceiros e, potencialmente, provêm de fontes múltiplas. Portanto, exige uma investigação extensiva para estabelecer sua procedência com um nível de confiança suficiente para fornecer ao seu escritório e aos nossos usuários informações adicionais. ”

A notificação é importante porque, de acordo com o GDPR, o Facebook tem a obrigação de anunciar violações de dados pessoais. No entanto, o DPC observa que o vazamento mais recente pode conter registros adicionais de um período posterior quando o GDPR estava em vigor. Se for esse o caso, o Facebook deveria ter notificado a perda e poderia ser multado. Facebook diz que não tem planos de fazer isso. O DPC acrescentou: “O DPC tentou durante o fim de semana estabelecer todos os fatos e continua a fazê-lo. Não recebeu comunicação proativa do Facebook.” Um motivo para essa omissão pode ser que o Facebook está apostando no fracasso do DPC em tomar qualquer ação séria contra a empresa. Como um post anterior no blog Privacy News Online, isso é precisamente o que aconteceu com muitas outras investigações do DPC, possivelmente resultando em um enfraquecimento da eficácia do GDPR. O fato de que dados pessoais de dezenas de funcionários da UE estão entre os últimos vazamentos pode ajudar a desacreditar a agênica regulatória.

Um artigo da Wired explica que, por maior que seja, o Grande Vazamento de Dados Pessoais de 2021 não é nada especial. É apenas o mais recente de uma série de lapsos graves por parte do Facebook:

Uma fonte de confusão foi que o Facebook teve inúmeras violações e exposições das quais esses dados poderiam ter se originado. Foram os 540 milhões de registros – incluindo IDs do Facebook, comentários, curtidas e dados de reação – expostos por terceiros e divulgados pela empresa de segurança UpGuard em abril de 2019? Ou foram os 419 milhões de registros de usuários do Facebook, incluindo centenas de milhões de números de telefone, nomes e IDs do Facebook, retirados da rede social por malfeitores antes de uma mudança na política do Facebook de 2018, que foram expostos publicamente e relatados pelo TechCrunch em setembro de 2019 ?

O artigo da Wired aponta que o Facebook chegou a um acordo com a FTC em julho de 2019 sobre suas falhas de privacidade anteriores. Em troca de pagar uma multa de US $ 5 bilhões e concordar em outros termos, a empresa foi indenizada por todas as suas falhas antes de 12 de junho de 2019. Uma questão importante é se algum dos dados do último vazamento é datado posterior a este ponto de corte.

Sempre que os dados foram extraídos, o tamanho e a seriedade dos acervos de dados que agora estão disponíveis enfatizam uma série de pontos importantes.

Criar grandes armazenamentos de dados pessoais é inerentemente perigoso, uma vez que sempre haverá vazamentos.
O Facebook parece bastante indiferente aos problemas que seus usuários sofrem quando as informações de sua conta vazam, e está mais interessado em desviar a culpa do que em se desculpar.

O ideal é que pessoas com contas no Facebook as fechem, mas mudar para outras redes sociais é difícil, pois como poderíamos deixar de seguir nossos amigos e familiares? Afinal, embora haja está polêmica toda a respeito da privacidade do Facebook, a sua utilidade em aproximar pessoas que se encontram distantes é inegável. No mínimo, poderíamos aconselhar aos usuários a fornecer detalhes falsos sempre que possível, para que os dados principais não pudessem ser usados contra eles, como certamente acontece há muito tempo.