Facebook e a exposição de dados privados.

Querem uma situação de segurança mais caricata do que guardar dados privados de utilizadores num mero documento de texto pesquisável? Pois bem, isso aconteceu aos dados de centenas de milhões de utilizadores do Facebook! Mas não foi só isso e 540 milhões de registos de actividade foram expostos. Mais ainda o Facebook andou a pedir passwords de e-mail para permitir acesso.

Passwords em ficheiro de texto

Não foi com os dados de um, nem de dois, nem de três utilizadores. Foram os dados de centenas de milhões de utilizadores que tiveram os seus dados de login guardados num simples documento de texto. E pior do que isso, num documento acessível numa simples pesquisa aos funcionários do Facebook.

O relato desta situação foi dado pela KrebsOnSecurity, sendo que o Facebook vem referir que as suas investigações internas revelam que os funcionários não abusaram desses dados. Uma situação que, mesmo que verdadeira, naturalmente, não pode ser garantida a 100%.

A investigação do Facebook, após o alerta, refere que cerca de 200 a 600 milhões de utilizadores do Facebook tiveram os seus usernames e passwords guardados num documento de texto que podia ser acedido por qualquer um dos 20 mil funcionários do Facebook. A fonte que relatou sob anonimato a informação, refere que o Facebook está a tentar determinar quantas dessas passwords estiveram expostas e por quanto tempo, mas a investigação tem vindo a mostrar que esta prática parece estar a existir desde 2012.



O inquérito feito sabe ainda que pelo menos 2 mil engenheiros e criadores de aplicações fizeram aproximadamente 9 milhões de pesquisas por dados guardados de passwords guardados em texto, tentando assim erradicar o problema.

Um funcionário da KrebsOnSecurity, e engenheiro de software do Facebook, Scott Renfro, refere que o Facebook não está pronto para referir números exactos de funcionários que possam ter acedido aos dados, referindo as investigações não encontraram vestígios de que alguém estivesse de forma intencional a aceder a esses dados, bem como não encontraram dados que permitam dizer que esses dados foram mal usados. Mas esta situação não garante absolutamente nada!

A KrebsOnSecurity refere que espera que o Facebook notifique os utilizadores do Facebook, bem como os de Instagram com contas ligadas para que mudem os seus dados.

De notar que esta situação não é única do Facebook. A Microsoft já fez isto na sua Windows Store, e bem mais recentemente o Github e o Twitter tambem foram forçados a admitir situações semelhantes. Em todos estes casos as passwords eram guardadas em documentos de texto.

540 milhões de registos de actividade expostos.

De acordo com a Upgard, mais de 540 milhõe de registos de actividade dentro da rede social foram expostos ao estarem disponíveis nos servidores Cloud da Amazon. A culpa… de parceiros do facebook.

Independentemente de quem tem a culpa, a responsabilidade pela salvaguarda e protecção dos dados cai sempre sobre o Facebook. É a ele que os dados são confiados e é a ele que compete zelar pelos mesmos. E mesmo depois do escândalo da Cambridge Analytica, o que se vé que os dados que os utilizadores confiam ao Facebook continuam espalhados pelo mundo.

A identificação em causa engloba números de identificação, comentários, reações, bem como os nomes das contas de utilizador. Dados mais do que suficientes para que o utilizador seja identificado.

A informação que o Facebook deveria garantir estar protegida, foi cedida a terceiros que a armazenaram, sem qualquer protecção, em servidores cloud da Amazon.



Negligência ao mais alto nível e uma clara violação dos deveres de vigilância do Facebook, a única entidade com quem os utilizadores interagem directamente.

De entre os parceiros culpados pelo facto, há um que se destaca, a plataforma digital mexicana denominada por Cultura Colectiva. No endereço https://culturacolectiva.com/en a informação desses 540 milhões de registos estava disponível e acessível para descarga.



A situação foi entretanto corrigida, mas a exposição destes dados ocorreu durante um largo período de tempo.

Outras entidades responsáveis é a empresa responsável por uma aplicação já extinta denominada At the Pool e que possuia tambem exposta a informação de 22 mil pessoas, com nomes, e-mails e passwords da rede social.

Basicamente estas histórias mostram bem a forma descuidada e despreocupada como o facebook armazenava dados pessoais de todos nós. Dados aos quais absolutamente ninguém deveria ter acesso. E a empresa assumia uma postura na qual, após os dados serem cedidos, não se preocupava com o que lhes acontecia, entendendo que a responsabilidade deixava de ser sua. Algo que não podia ser mais errado!

Esperemos por isso que o Facebook seja forçado a pagar por estes erros. O dano está feito e as consequências podem só se vir a perceber dentro de vários anos, com consequências que não podem ser previstas. Os dados são das pessoas, estavam confiados à guarda do Facebook, e era sua obrigação mantê-los privados.

Facebook pedia a password do e-mail

Esta é das situações mais caricatas que já li, mas aconteceu.

Durante a inscrição no Facebook, e depdendendo do e-mail introduzido, o Facebook pedia ao utilizador que introduzisse a password que dava acesso à conta de e-mail.

Naturalmente este é um dado que não só não é necessário, como nunca deve ser pedido. É um dado sagrado e a que ninguém tem o direito de ter acesso. Cremos que a maior parte dos utilizadores terá cancelado a inscrição ao ver este pedido, mas claro, muitos terão, inocentemente fornecido esse dado.

A password do e-mail é dos dados que mais pode comprometer a segurança de um utilizador. E nenhuma empresa está no direito de a pedir. Mas a realidade é que se o servidor de e-mail não fosse um dos mais conhecidos, como o Gamil ou Outlook, a rede solicitava a password.

O Facebook alega que o pedido estava relacionado com serviços de e-mail que não possuem suporte para OAuth, e que sem este protocolo de validação de e-mails não era possível verificar-se a validade dos mesmos, sendo necessária a password para se entrar no mesmo e assim confirmar a sua existência.

Inaceitável. O Facebook coloca os seus interesses acima dos do seu utilizador, sacrificando a privacidade em favor de garantir a veracidade de um e-mail. Algo que poderia ser facilmente resolvido com um alerta de que o e-mail não podia se verificado, solicitando-se outro.

A rede social refere que os dados não era armazenados e nem acessíveis aos funcionários. Curiosamente algo que já ouvimos antes, mas a realidade é que os escândalos de fuga de informação não param de aparecer,



newest oldest
Notify of
Vitor Calado
Visitante
Vitor Calado

Os meus dados do facebook são verdadeiramente privados e estou tranquilo quanto a isso…eu acho que as pessoas perderam um bocado a noção do que é privado e do que é publico, não me parece que uma pessoa colocar na internet todos os seus dados possa dizer que são dados privados, aliás vem pelo próprio termo “privado”, privar é não fornecer não dar, pelo dicionário PRIVAR: 1. impedir alguém de ter algo
Na minha opinião se tu dás os teus dados de livre vontade eles deixam de ser dados privados e passam a ser dados partilhados, eles prometem que vão só ser partilhados entre ti e eles e depois não cumprem…epah, que eu tenha conhecimento o facebook não obriga ninguém a fornecer os dados, só confias que eles não os vão partilhar com mais alguém se quiseres…eu como não tenho facebook tenho a certeza absoluta que os meus dados verdadeiramente privados vão continuar sendo privados

Reinaldo
Visitante
Reinaldo

Lol… você tem noção do que diz?
Você confunde dados privados com dados intímos. Porque o seu nome completo, a sua password, as suas conversas, localização e outros são dados seus e privados. Tudo o que sejam dados sensíveis, ou apenas partilhados em circulos restritos são dados privados.
Você pode privar com uma pessoa, ou com duas, ou até com três ou mais. Se o facebook está sempre incluido nessa troca de dados é irrelevante, e é nesse sentido que o fornecedor se serviço assume uma política que está escrita nas condições de adesão, e que refere que eles manterão os seus dados inacessíveis a terceiros. O que você ali escreve, só é público se você colocar público, mas partilhado de uma forma que lhe é definida como restrita, deveria manter-se restrito.
E isso não é uma opção do facebook, que coitadinho, está na internet e lida com pessoas que não tem a noção. Esse dever de manter a privacidade é algo a que estão obrigados por lei, e é um direito constitucional de todos ver aquilo que é partilhado em meios restritos, manter-se apenas em meios restritos.
E é essa a situação que está em causa. O facebook não só partilha esses dados com terceiros, como usa algoritmos de análise que permitem saber mais sobre você do que aquilo que foi partilhado.
Ele analisa localizações, ele cruza informação com outros utilizadores, eles analisam fotos que você publica para retirar dados, partilha do tudo isso com terceiros.
Essa quebra numa confiança que é assumida por eles mesmos na adesão dos utilizadores e descrita na sua política é o que está em causa. Mesmo num fórum onde tudo o que você escreve é público, há dados de login que são privados, e que necessitam de se manter privados.
Imagine que você numa conversa com a sua mãe confidencia algo clinico. Você gostaria que esses dados fossem colocados num local onde qualquer um pudesse aceder, e partilhados com terceiros? Algo que você confidenciou, e se confidenciou é porque tinha motivos?
Se a ferramenta foi o facebook, numa conversa privada, se foi o telefone, se foi uma conversa por voz presencial, é irrelevante. O circulo deveria ser fechado. Essa é a promessa do facebook, é um direito que é seu, é algo garantido por lei.
Violar esse comprometimento é violar a lei, é atentar contra a privacidade das pessoas. Se você não se preocupa, optimo para si. Mas é por isso que temos leis que podem parecer absurdas, porque as pessoas tem de ser protegidas de si mesmas pois não tem noção das possíveis consequências. Neste caso do que essa informação que deveria ser restrita pode implicar na sua vida e segurança no futuro.

Livio
Visitante
Livio

Os meus dados do facebook são verdadeiramente privados e estou tranquilo quanto a isso…
…eu como não tenho facebook tenho a certeza absoluta que os meus dados verdadeiramente privados vão continuar sendo privados

Tens ou não tens???

Se não tens conta no Facebook então não terá dados e a primeira frase é inválida.