Facebook expõe 419 milhões de registros de bancos de dados

0
0

Centenas de milhões de números de telefone vinculados a contas do Facebook foram encontrados online, divulgou nesta quarta-feria,4, o site TechCrunch, informando que o servidor exposto continha mais de 419 milhões de registros em vários bancos de dados de usuários em diferentes regiões, incluindo 133 milhões de registros em usuários do Facebook nos EUA, 18 milhões de registros de usuários no Reino Unido e outro com mais de 50 milhões de registros de usuários no Vietnã.

Mas como o servidor não estava protegido com uma senha, qualquer pessoa poderia encontrar e acessar o banco de dados.

Cada registro continha o ID do Facebook exclusivo de um usuário e o número de telefone listado na conta. O ID do Facebook de um usuário geralmente é um número longo, exclusivo e público associado à sua conta, que pode ser facilmente usado para discernir o nome de usuário de uma conta.

Mas os números de telefone não são públicos há mais de um ano desde que o Facebook restringiu o acesso aos números de telefone dos usuários.

O TechCrunch verificou vários registros no banco de dados, comparando o número de telefone de um usuário conhecido do Facebook com o ID do Facebook listado. Também verificamos outros registros comparando números de telefone com o próprio recurso de redefinição de senha do Facebook, que pode ser usado para revelar parcialmente o número de telefone de um usuário vinculado à sua conta. Alguns dos registros também tinham o nome do usuário, sexo e localização por país.

O porta-voz do Facebook, Jay Nancarrow, disse que os dados foram raspados antes que o Facebook cortasse o acesso aos números de telefone dos usuários. "Esse conjunto de dados é antigo e parece ter informações obtidas antes de fazermos alterações no ano passado para remover a capacidade das pessoas de encontrar outras pessoas usando seus números de telefone", disse o porta-voz. "O conjunto de dados foi retirado e não vimos nenhuma evidência de que as contas do Facebook foram comprometidas".

Mas permanecem dúvidas sobre exatamente quem raspou os dados, quando foram retirados do Facebook e por quê. Há muito tempo o Facebook restringe os desenvolvedores – o acesso aos números de telefone dos usuários. A empresa também dificultou a pesquisa dos números de telefone dos amigos. Mas os dados parecem ter sido carregados no banco de dados exposto no final do mês passado – embora isso não signifique necessariamente que os dados são novos.

Segundo a Positive Technologies, companhia global de segurança cibernética, essa violação é um lembrete de que mesmo as maiores companhias podem não conseguir proteger dados. "As empresas e os consumidores são muito rápidos na criação e adoção de novas tecnologias e serviços, mas geralmente não conseguem se proteger dos ataques mais básicos", alerta Giovani Henrique, diretor geral da Positive Technologies para América Latina.

Para o executivo, o grande risco desse ataque é que muitos dos números de telefones celulares envolvidos permanecem em uso pelos titulares das contas afetadas, e eles não percebem que podem estar sofrendo outra fraude, como clonagem de usuário em sistema de mensagem. "Informação é poder para os invasores. Em muitos, casos dados como nome, sobrenome, número de telefone, data de nascimento e RG seriam suficientes para o hacker realizar um ataque direcionado, como interceptação de SMS via SS7", explica. "A exploração da vulnerabilidade no protocolo de redes móveis, somada a esta base de dados de qualidade que foi exposta, seria extremamente prejudicial aos usuários", afirma.

Ele também destaca que, embora as informações em cada registro do usuário possam não ser tão detalhadas, esses dados são úteis para incrementar outro banco de dados já exposto, mas sem essas informações. Além disso, outra ameaça do ataque é que muitos serviços, incluindo bancos, usam números de telefone como uma maneira de autenticar usuários. "Se o número for roubado, os hackers podem contornar essa proteção e, potencialmente, invadir contas. Vimos isso acontecer na conta do CEO do Twitter, Jack Dorsey, na semana passada", finaliza.

Esta exposição de dados mais recente é o exemplo mais recente de dados armazenados online e publicamente sem uma senha. Embora muitas vezes vinculadas a erros humanos e não a violações maliciosas, as exposições de dados representam um problema de segurança emergente. Nos últimos meses, a gigante financeira First American deixou os dados expostos, assim como o MoviePass e o partido Democratas do Senado norte-americano.

Deixe seu comentário