Os 10 erros mais épicos do Facebook

28 maio 2019

Em maio, Mark Zuckerberg completou 35 anos e não conseguiu celebrar discretamente. Já que enfrenta uma investigação federal cujo objetivo é analisar a sua responsabilidade pela má gestão dos dados privados dos usuários, ao mesmo tempo que os escândalos de Facebook continuam a inundar as manchetes. Nesta publicação, compilamos os 10 erros mais importantes relacionados ao uso indevido dos dados privados dos usuários do Facebook.
1. Cambridge Analytica: foi assim que tudo começou

Tudo começou com o escândalo da Cambridge Analytica. No início de 2018, confirmamos que terceiros podiam usar os dados e opiniões que compartilhamos no Facebook sem o nosso consentimento. A Cambridge Analytica coletou informações de 50 milhões de usuários da plataforma de rede social e as usou para veicular propaganda política. Isso impactou a todos, mas foi apenas o começo. Para lembrar os fatos sobre o escândalo dos dados privados do Facebook, você pode ler esta publicação.

2. Os tokens roubados do Facebook

Seis meses depois, outro escândalo atingiu a plataforma: um grupo de cibercriminosos conseguiu explorar várias vulnerabilidades do Facebook e roubar tokens de acesso (que são chaves digitais basicamente equivalentes as informações de acesso da conta) de milhões de usuários.

No total, os responsáveis pelo ataque roubaram 30 milhões de usuários: tiveram acesso aos nomes e lista de contatos de 15 milhões e podiam ver as atividades de 14 milhões. Quanto aos milhões de usuários restantes, os cibercriminosos não acessaram nenhum tipo de informação. Em seguida, usuários do Facebook descobriram que a rede não era tão impenetrável e que qualquer um poderia roubar as contas do Facebook  em massa, mas não fizeram nada de errado.

3. Senhas do Facebook e Instagram foram divulgadas

Se 30 milhões de pessoas afetadas parecem poucas para você, ocorreu um incidente que envolveu centenas de milhões de usuários do Facebook e do Instagram. No início de 2019, o Facebook assumiu que seus processos internos relacionados à segurança dos dados do usuário não são perfeitos. A empresa admitiu que estava armazenando algumas das senhas do Facebook e do Instagram em texto simples, mas insistiu que apenas os funcionários poderiam acessá-las e que ninguém havia abusado dessas permissões.

Até agora, o número exato de usuários afetados pelo vazamento de dados privados não foi divulgado. Primeiro, a empresa comentou que o problema de segurança afetou mais de 100 milhões de usuários do Facebook Lite, dezenas de milhões do Facebook e milhares de usuários do Instagram. Mas um mês depois, houve uma ratificação na qual afirmaram u que o problema (que já foi corrigido) não afetou dezenas de milhares, mas milhões de usuários no Instagram.

4. Senhas do Instagram vazaram novamente

A verdade é que esta não foi a primeira vez que os usuários do Instagram descobriram que suas senhas poderiam ter vazado. Alguns meses antes, descobriu-se que a função “Baixar dados” do Instagram continha uma falha de segurança (agora corrigida) que poderia ter divulgado inadvertidamente algumas senhas da plataforma. Quando os usuários efetuaram o login para usar esse recurso, suas senhas foram incluídas em URLs nos navegadores e, novamente, armazenadas nos servidores do Facebook como texto simples.

5. Facebook solicitou senhas de e-mails e se apropriou de contatos

O Facebook se apropriou dos contatos de e-mail de 1,5 milhão de usuários sem consentimento. Bem, é algo mais complicado. Na verdade, ele pediu (link nofollow) a um subgrupo de recém-chegados para verificar suas identidades e, para isso, foi necessário o fornecimento da senha das contas de e-mail. Quando a notícia veio à tona sobre o vazamento de dados privados, muitos pensaram que era uma piada, nenhum usuário da Internet poderia imaginar a ideia de oferecer a terceiros acesso às suas comunicações por e-mail. Infelizmente, não foi uma brincadeira e muitos caíram.

De acordo com o Facebook (link no follow), não houve acesso ao conteúdo dos e-mails dos usuários, apenas coletou inadvertidamente os contatos. Um total de 1,5 milhão de usuários foi afetado, mas como as listas de e-mail podem contar com centenas de contatos, o número pode chegar a dezenas de milhões. A empresa alega que utilizou os dados privados dos usuários do Facebook para melhorar a publicidade direcionada, desenvolver as conexões sociais do site do Facebook e recomendar novos amigos aos usuários.

6. A autenticação de dois fatores é uma ferramenta para anunciantes

Todos nós queremos manter as nossas contas seguras e a autenticação de dois fatores parece a melhor opção, mas mesmo neste caso surgem problemas. Por exemplo, o número de telefone que você fornece ao ativá-la é automaticamente associado a sua conta e não é possível modificá-lo. Consequentemente qualquer pessoa pode encontrar seu perfil (link nofollow) usando seu contato, mesmo que ela não tenha uma conta. Como se isso não bastasse, o Facebook também pode enviar anúncios para seu número de telefone.

7. Seus contatos nunca estarão a salvo dos anunciantes

Como mencionamos anteriormente, o Facebook e o Instagram têm dado aos anunciantes acesso a informações de contato que os usuários não necessariamente armazenam na plataforma. Ou seja, os anúncios estão direcionados (e certamente continuarão) aos nossos endereços de e-mail e números de telefone indicados em nossas “informações básicas e de contato”, ou em outra categoria de dados privados vazados do Facebook.

Essas informações podem ser o número de telefone (se for seu caso) inserido para a funcionalidade 2FA e os endereços dos e-mails indesejados fornecidos para descontos ou compras online furtivas. Além disso, se um de seus contatos decidir compartilhar (“sincronizar”) os contatos dele com o Facebook ou autorizar o acesso à lista de endereços (para “encontrar amigos”) e isso incluir seu número de telefone, mesmo que você nunca tenha inserido essas informações, os anunciantes poderão endereçar anúncios usando essa base de dados.

8. Facebook compartilhou dados com anunciantes

Como os documentos internos vazados mostraram, o Facebook tem usado (link nofollow) os dados privados dos usuários para influenciar as empresas com as quais estava associado. Por exemplo, a Amazon.com, que investiu uma grande quantia de verba publicitária na plataforma, conseguiu obter os nomes e endereços de e-mail dos usuários por meio de seus amigos (assim como Sony, Microsoft e muitos outros).

O mecanismo de pesquisa da Microsoft conseguiu acessar os nomes de todos os nossos amigos no Facebook sem o nosso (ou seu) consentimento. A Netflix, o Spotify e o Royal Bank of Canada tiveram o privilégio de ler, escrever e excluir nossas mensagens privadas e de ver todos os participantes dessas conversas. Os dispositivos da Apple tinham acesso a números de contatos e anotações do calendário, mesmo de pessoas que haviam alterado suas configurações de conta para desativar essa opção.

As empresas envolvidas afirmaram que nunca usaram mal esses dados que tiveram acessado e algumas indicaram que não sabiam sobre os direitos tão “privilegiados”.

9. Facebook Marketplace filtrou a localização exata dos vendedores

Uma falha de segurança(já corrigido) no mercado digital do Facebook indicava a localização exata dos vendedores (coordenadas precisas de longitude e latitude) e, portanto, de seus produtos. Para checar a localização, não era preciso nem fazer o acesso logado à plataforma, então alguns especialistas começaram a chamar o serviço de “lista de compras dos ladrões”. Para os vendedores de bicicletas caras esta falha foi realmente preocupante, porque os cibercriminosos poderiam se beneficiar muito sabendo da localização exata do item. O marketplace estava basicamente dando as bicicletas de “mão beijada”.

10. Dados do Facebook vazados por terceiro

Foram descobertos dois bancos de dados que armazenam informações do usuário em texto simples e que poderiam ser acessados ​​e baixados por qualquer pessoa. Um deles teve como fonte um jogo chamado “At the pool”, já em desuso há bastante tempo, e o outro continha mais de 540 milhões de registros que pertenciam à Cultura Colectiva, um meio de comunicação mexicano que opera em toda a América Latina. Ambas as bases de dados (link interno) incluíram os nomes e endereços de e-mail dos usuários, a lista de amigos, curtidas, comentários e todos os tipos de informações que ajudam a analisar as preferências e interesses dos usuários.

Embora as informações não fossem especialmente sensíveis e o pessoal do Facebook em si não estivesse ligado ao vazamento, mais uma vez levanta a questão de como o Facebook compartilhou os dados dos usuários com terceiros e reverbera no escândalo se tornou Cambridge Analytica.

Se você acha que já sofreu o suficiente com as artimanhas do Facebook, esta publicação de nosso blog, nós ensinamos como deletar sua conta do Facebook (link interno). Mas, claro, é sua decisão.