Dois Bancos de Dados Mal Protegidos Deixaram os Registros de 540 Milhões de Usuários do Facebook Acessíveis Publicamente
Já por algum tempo, o Facebook tem feito manchetes por todas as razões erradas. No último mês, o repórter de segurança Brian Krebs revelou que as senhas de centenas de milhões de pessoas foram armazenadas em texto simples nos sistemas internos do Facebook. As críticas ainda não haviam morrido quando os usuários reclamaram que a rede social estava pedindo a senha dos seus e-mails.
Esse dois incidentes completamente separados aconteceram em apenas duas semanas e são os últimos em uma linha de eventos que sugere que “Facebook” e “privacidade” são duas noções incompatíveis. Esse tipo de notícia é munição para os oponentes das redes sociais que dizem que o Facebook é a raíz de todo o mal, e como esperado, Mark Zuckerberg está tentando defender o seu império multi-bilionário.
Repetidas vezes ele jurou que o Facebook irá atualizar a sua política e mudar o seu mecanismo de gerenciamento de dados para assegurar que a privacidade de mais de 2 bilhões de usuários esteja melhor protegida. Estar disposto ou não a acreditar nele é você quem decide, mas mesmo que ele fizer tudo o que prometeu, os erros cometidos anos atrás ainda podem causar a exposição de dados.
Índice
Mais de meio bilhão de registros de usuários do Facebook deixados em buckets públicos do Amazon S3
Em janeiro, os pesquisadores de ciber-segurança da UpGuard se depararam com alguns buckets do Amazon S3 que estavam publicamente acessíveis de qualquer lugar do mundo, e após uma inspeção mais acurada, descobriu-se que continham alguns registros de usuários do Facebook.
O primeiro bucket pertencia ao desenvolvedor do “At the Pool” - um aplicativo do tipo rede social agora extinto que era integrada com o Facebook. Os dados continham informações de em torno de 22 mil usuários o que, em suma, não é muito. Embora seja pequeno e relativamente velho, o banco de dados continha senhas em texto simples, o que vai contra todo bom senso quando o assunto é o armazenamento seguro de senhas.
Deve ser mencionado que embora todos os indivíduos afetados fossem usuários do Facebook, as senhas expostas eram para as suas contas no At the Pool ao invés do perfil do Facebook. Isso, como a UpGuard apontou, entretanto, é de pouco consolo para as pessoas que usam e reusam as mesmas senhas antigas. Além das senhas, o bucket tinha colunas intituladas “fb_user_id, “fb_friends”, “fb_likes”, “fb_photos”, etc.
O segundo bucket da S3 com o qual a UpGuard se deparou era muito maior. Chegou a 146 gigabytes, e continha um total de 540 milhões de registros. Aparentemente, os dados expostos incluíam tudo desde nomes de contas e IDs do Facebook até comentários, curtidas, e reações. Após investigações, a UpGuard descobriu que os dados eram coletados por uma companhia de marketing situada no México chamada Cultura Coletiva.
Para recapitular, nós temos detalhes dos usuários do Facebook que são acessíveis para todo mundo. Alguns deles foram expostos por um desenvolvedor de software agora fora de atividades, e outros por uma empresa de marketing mexicana. Todos os dados eram hospedados em um hardware possuído pela Amazon. Você deve ver o problema agora.
Alerta: Se você compartilhou os seus dados com o Facebook, você provavelmente os compartilhou com terceiros
O clamor da mídia está longe de ser alto, mas nós estamos basicamente falando sobre as mesmas coisas que falamos há um ano quando o escândalo da Cambridge Analytica estourou. Por anos, o Facebook tem contentemente compartilhado informações dos usuários com desenvolvedores e provedores de serviços terceirizados, e nada tem sido feito para garantir que os ditos desenvolvedores e provedores vão proteger a privacidade dos usuários ativamente.
Em teoria, o usuário deveria ter algum controle sobre os seus dados. Quando você está permitindo que um terceiro veja e acesse as suas informações, você está mostrado exatamente o tipo de dados que serão vistos. Na realidade, entretanto, isso não funciona. As pessoas apenas não leem as permissões com cuidado, e mesmo que lessem, o problema de como os terceiros armazenam as informações permanece. Há uma opção um tanto radical de banir completamente terceiros do acesso aos seus dados de perfil, mas isso iria modificar completamente tudo e forçaria o Facebook a procurar meios de fazer dinheiro.
Mesmo assim, um cenário um tanto implausível, resolve o problema apenas para os novos usuários. Aqueles que estão na plataforma por vários anos provavelmente já tiveram os seus dados acessados por terceiros, e eles podem apenas esperar que não sejam expostos em um bucket público do Amazon S3 ou de algum outro modo. Como disse UpGuard, o gênio já está fora da garrafa.
Nós percebemos que estamos descrevendo uma imagem apocalíptica, mas a verdade é que, o meio com o qual o Facebook tem trabalhado nos últimos anos tem feito todo o assunto sobre privacidade muito pior do que deveria. O que é um tanto surpreendente é que as pessoas responsáveis não parecem estar terrivelmente incomodadas.
Tempos de reações horríveis das organizações responsáveis lidando com os dados das pessoas
Quando encontraram os dois buckets, os pesquisadores da UpGuard pensaram que proteger os dados armazenados pela At the Pool seria incrivelmente difícil. O aplicativo está morto, e todas as evidências apontam para o fato do desenvolvedor ter encerrado as suas atividades. Apesar disso, alguém tirou do ar o bucket da S3 antes da UpGuard ter tempo de notificar o Amazon sobre eles. Ainda não se sabe se o dono dos buckets perceberam que estiveram expondo dados das pessoas ou se a sua inscrição expirou.
Dado que a Cultura Coletiva ainda é uma entidade funcional, a UpGuard esperava que tirar os seus buckets do ar seria fácil. Infelizmente, não era. Os pesquisadores enviaram o seu primeiro e-mail no dia 10 de janeiro. Quatro dias depois, eles tentaram notificar a empresa de marketing mexicana de novo, mas eles não retornaram. Vendo que isso não os levaria a lugar algum, a UpGuard se voltou para o Amazon, contando ao grupo de Jeff Bezos que o seu hardware estava expondo alguns dados que não deveriam ser expostos. Ao invés de tirar os dados do ar, entretanto, o Amazon disse que informaram aos donos dos buckets. Três semanas depois, os buckets ainda estavam no ar, e a UpGuard decidiu perguntar ao Amazon o que estava acontecendo. Eles prometeram que uma investigação mais profunda seria feita, mas quase seis semanas depois, os dados permaneceram online.
Finalmente, quando os pesquisadores da UpGuard estavam se preparando para contar a notícia, eles falaram com a Bloomberg que pediu ao Facebook para comentar. A rede social anunciou que colocar curtidas, comentários, reações, e IDs em buckets acessíveis publicamente é contra os termos de serviços e pediu ao Amazon para retirá-lo do ar. O maior provedor de armazenamento na nuvem do mundo foi muito mais responsivo ao pedido do Facebook, e no dia 3 de abril, exatos 82 dias depois do primeiro e-mail da UpGuard, os dados foram finalmente retirados.
O fato do Amazon estar disposto a agir apenas quando tiver um conglomerado de uma grande rede social do outro lado é dificilmente algo bom. A reação do Facebook é também algo menos que perfeito. A rede social falhou em dizer, por exemplo, o que planejam fazer para assegurar que incidentes similares não aconteçam no futuro.
Com isso dito, as pessoas administrando a Cultura Coletiva deveriam definitivamente ter a maior parte da culpa não apenas por deixarem dados em um bucket aberto, mas também por terem falhado em responder aos e-mails da UpGuard e do Amazon por quase três meses.
No entanto, pergunte a eles, e eles lhe dirão que não fizeram nada de errado. Pouco após o bucket ser retirado do ar, eles usaram as páginas de mídia social da Cultura Coletiva para emitir uma declaração que está apenas disponível em espanhol (uma jogada um tanto estranha dado que a companhia tem uma versão em inglês do seu site oficial). A Cultura Coletiva diz que todos os dados que coletam do Facebook é visível nos perfis dos usuários. Isso, você deve concordar, não significa que deveria ser organizado e colocando acessível publicamente em um bucket AWS S3.
