Uma imagem censurada do software Facebook Email Search v1.0. Ars Technica
Os hackers estão usando um software chamado Facebook Email Search v1.0 para descobrir os endereços de e-mail de milhões de usuários do Facebook, mesmo que os endereços estejam definidos como privados. Esses dados do usuário, combinados com os 533 milhões de números de telefone vazados do Facebook apenas algumas semanas atrás, podem ajudar os hackers a invadir contas ou construir um banco de dados de informações privadas dos usuários do Facebook.
O Facebook Email Search v1.0 explora uma vulnerabilidade de front-end no site do Facebook. Ele vincula automaticamente os IDs de usuário ao endereço de e-mail associado, permitindo que um único hacker proteja cerca de 5 milhões de endereços de e-mail por dia. O Facebook diz que corrigiu uma vulnerabilidade quase idêntica no início deste ano, embora o problema claramente permaneça sem solução.
Em uma conversa com o Ars Technica, um pesquisador não identificado afirma que demonstrou a exploração ao Facebook, mas que a gigante da mídia social optou por ignorar o problema. O Facebook disse ao pesquisador que “não considera [a vulnerabilidade] importante o suficiente para ser corrigida", apesar de ser um claro risco de segurança e uma violação da privacidade dos usuários.
Pronto para um golpe duplo? O Facebook não apenas ignorou a vulnerabilidade, mas está incentivando ativamente seus representantes de relações públicas a minimizar e normalizar as violações de dados. Um e-mail interno do Facebook enviado acidentalmente aos jornalistas do Data News após o vazamento do número de telefone de 5 de abril afirma o seguinte:
ESTRATÉGIA DE LONGO PRAZO: Supondo que o volume da imprensa continue a diminuir, não estamos planejando declarações adicionais sobre esse assunto. A longo prazo, porém, esperamos mais incidentes de raspagem e achamos importante enquadrar isso como um problema amplo do setor e normalizar o fato de que isso acontece ativamente regularmente. Para fazer isso, a equipe está propondo um post de acompanhamento nas próximas semanas que fala mais amplamente sobre nosso trabalho anti-scraping e fornece mais transparência sobre a quantidade de trabalho que estamos fazendo nessa área. Embora isso possa refletir um volume significativo de atividade de raspagem, esperamos que isso ajude a normalizar o fato de que essa atividade está em andamento e evitar críticas de que não estamos sendo transparentes sobre incidentes específicos.
Centenas de milhões de usuários do Facebook tiveram suas informações privadas comprometidas este mês devido a duas vulnerabilidades separadas do site. E diante desse “volume significativo de atividade de raspagem”, o Facebook espera normalizar os vazamentos e admite que os despejos de dados estão “em andamento”. Para um site obcecado em coletar dados do usuário, a negligência do Facebook é uma grande bandeira vermelha.
O Facebook agora afirma que “encerrou erroneamente este relatório de recompensas de bugs antes de encaminhar para a equipe apropriada” e que está atualmente investigando o problema. Não está claro quando a empresa realmente corrigirá essa vulnerabilidade ou quantas contas foram afetadas. O impacto atual dos dados do usuário vazados também é desconhecido.
Fonte: Ars Technica, Data News