Virou rotina: milhões de dados de usuários do Facebook em claro na Internet. Dois desenvolvedores de aplicativos do Facebook expuseram informações pessoais dos usuários, deixando os dados expostos sem senha e sem criptografia nos buckets do Amazon Web Services S3, disseram pesquisadores da empresa de segurança UpGuard.
O conjunto de dados continha 540 milhões de registros não protegidos, aponta o relatório. Não está claro quantos usuários foram afetados.
Por meses, os pesquisadores da UpGuard tentaram contatar as duas empresas sobre os dados de usuários expostos, mas uma das empresa não removeu as informações pessoalmente identificáveis (PII – personally identifiable information) até que a Bloomberg a contasse sobre a história dos relatórios da UpGuard.
A segunda empresa está fora do mercado há vários anos, descobriu a UpGuard.
Não está claro se alguém tentou acessar ou roubar esses dados antes de serem descobertos, informou um porta-voz da UpGuard ao Information Security Media Group.
Também não se sabe por quanto tempo esses dados foram armazenados sem uma senha na AWS.
Milhões de registros expostos
Como parte da pesquisa iniciada no início deste ano, o UpGuard encontrou dois desenvolvedores de aplicativos de terceiros que obtiveram acesso aos dados do Facebook e deixaram essas informações expostas à Internet pública na nuvem da AWS.
A primeira é uma empresa chamada Cultura Colectiva, uma empresa de mídia sediada na Cidade do México. O conjunto de dados que os pesquisadores descobriram continha 146 GB com 540 milhões de registros, incluindo IDs do Facebook, comentários, curtidas, reações, nomes de contas e muito mais, de acordo com o UpGuard.
A segunda empresa expôs na AWS um conjunto de dados contendo 22.000 senhas armazenadas em texto simples, bem como outros dados do usuário do Facebook. Como o aplicativo da empresa, chamado “At the Pool”, integrado ao Facebook, é provável que os usuários tenham usado as mesmas senhas para as duas contas, de acordo com o UpGuard.
Além disso, os pesquisadores encontraram um banco de dados de backup usado com o aplicativo “At the Pool” que continha nomes de arquivos como “fb_user”, “fb_friends”, “fb_likes” e outros. A empresa que criou o aplicativo não está mais no mercado e seu site retorna um erro 404, segundo a UpGuard. O nome da empresa não é mencionado no relatório.
Em ambos os casos, os conjuntos de dados da empresa foram armazenados em seu bucket do Amazon S3 que foi configurado para permitir downloads públicos dos arquivos e não foi protegido por senha.
“Os dados sobre os usuários do Facebook se espalharam muito além dos limites do que o Facebook pode controlar hoje“, escrevem os pesquisadores do UpGuard em um post.
“Combine essa plenitude de dados pessoais com tecnologias de armazenamento que são muitas vezes mal configuradas para acesso público, e o resultado é uma longa cauda de dados sobre os usuários do Facebook que continuam a vazar.”
Problemas do Facebook em andamento
Esta notícia parece reforçar ainda mais a forma sobre como o Facebook lida com seus dados, ocorridos poucas semanas depois de a empresa ser pego com senhas de usuário armazenadas em texto puro, provavelmente trará mais escrutínio à empresa de mídia social, que já está enfrentando perguntas sobre como a Cambridge Analytica acessou informações em dezenas de milhões de usuários e a notícia recente de que colaboradores podiam ter acesso a milhões de senhas em formato texto.
O CEO do Facebook, Mark Zuckerberg, está enfrentando questões tanto nos EUA quanto na Europa sobre o histórico da empresa em proteger a privacidade de dados e suas práticas de negócios.
Em respostas escritas, o Facebook disse no ano passado ao Comitê de Energia e Comércio da Casa que desenvolvedores de terceiros poderiam acessar dados de amigos dos usuários, como nome, sexo, data de nascimento, localização, fotos e curtidas de página, muitas vezes sem consentimento.
Esta última notícia envolvendo terceiros “pode ser a ponta do iceberg, dado o notório e frouxo compartilhamento de informações do Facebook“, disse à ISMG Mukul Kumar, CISO e vice-presidente de prática cibernética da Cavirin, uma empresa de segurança sediada em Santa Clara, Califórnia. “No entanto, provavelmente não se limita ao Facebook, já que outras empresas da internet fizeram o mesmo.”
O Facebook e outros precisam analisar seus registros e entrar em contato com seus vários parceiros para proteger quaisquer dados de clientes, sugere Kumar. “Dado que alguns desses parceiros podem não ter o conhecimento ou podem não existir mais, o Facebook pode precisar trabalhar diretamente com os provedores de nuvem pública, e se eles não tomarem a iniciativa, o governo deve intervir“.
O Facebook diz que é contra a política da empresa para desenvolvedores terceirizados armazenar quaisquer dados em uma nuvem pública desprotegida.
“As políticas do Facebook proíbem o armazenamento de informações do Facebook em um banco de dados público. Uma vez alertados para o problema, trabalhamos com a Amazon para derrubar os bancos de dados. Estamos comprometidos em trabalhar com os desenvolvedores em nossa plataforma para proteger os dados das pessoas“, disse um porta-voz do Facebook à ISMG.
Fonte: BankInfo Security
Veja também:
Deixe sua opinião!