Querem uma situação de segurança mais caricata do que guardar dados privados de utilizadores num mero documento de texto pesquisável? Pois bem, isso aconteceu aos dados de centenas de milhões de utilizadores do Facebook! Mas não foi só isso e 540 milhões de registos de actividade foram expostos. Mais ainda o Facebook andou a pedir passwords de e-mail para permitir acesso.
Passwords em ficheiro de texto
Não foi com os dados de um, nem de dois, nem de três utilizadores. Foram os dados de centenas de milhões de utilizadores que tiveram os seus dados de login guardados num simples documento de texto. E pior do que isso, num documento acessível numa simples pesquisa aos funcionários do Facebook.
O relato desta situação foi dado pela KrebsOnSecurity, sendo que o Facebook vem referir que as suas investigações internas revelam que os funcionários não abusaram desses dados. Uma situação que, mesmo que verdadeira, naturalmente, não pode ser garantida a 100%.
A investigação do Facebook, após o alerta, refere que cerca de 200 a 600 milhões de utilizadores do Facebook tiveram os seus usernames e passwords guardados num documento de texto que podia ser acedido por qualquer um dos 20 mil funcionários do Facebook. A fonte que relatou sob anonimato a informação, refere que o Facebook está a tentar determinar quantas dessas passwords estiveram expostas e por quanto tempo, mas a investigação tem vindo a mostrar que esta prática parece estar a existir desde 2012.
O inquérito feito sabe ainda que pelo menos 2 mil engenheiros e criadores de aplicações fizeram aproximadamente 9 milhões de pesquisas por dados guardados de passwords guardados em texto, tentando assim erradicar o problema.
Um funcionário da KrebsOnSecurity, e engenheiro de software do Facebook, Scott Renfro, refere que o Facebook não está pronto para referir números exactos de funcionários que possam ter acedido aos dados, referindo as investigações não encontraram vestígios de que alguém estivesse de forma intencional a aceder a esses dados, bem como não encontraram dados que permitam dizer que esses dados foram mal usados. Mas esta situação não garante absolutamente nada!
A KrebsOnSecurity refere que espera que o Facebook notifique os utilizadores do Facebook, bem como os de Instagram com contas ligadas para que mudem os seus dados.
De notar que esta situação não é única do Facebook. A Microsoft já fez isto na sua Windows Store, e bem mais recentemente o Github e o Twitter tambem foram forçados a admitir situações semelhantes. Em todos estes casos as passwords eram guardadas em documentos de texto.
540 milhões de registos de actividade expostos.
De acordo com a Upgard, mais de 540 milhõe de registos de actividade dentro da rede social foram expostos ao estarem disponíveis nos servidores Cloud da Amazon. A culpa… de parceiros do facebook.
Independentemente de quem tem a culpa, a responsabilidade pela salvaguarda e protecção dos dados cai sempre sobre o Facebook. É a ele que os dados são confiados e é a ele que compete zelar pelos mesmos. E mesmo depois do escândalo da Cambridge Analytica, o que se vé que os dados que os utilizadores confiam ao Facebook continuam espalhados pelo mundo.
A identificação em causa engloba números de identificação, comentários, reações, bem como os nomes das contas de utilizador. Dados mais do que suficientes para que o utilizador seja identificado.
A informação que o Facebook deveria garantir estar protegida, foi cedida a terceiros que a armazenaram, sem qualquer protecção, em servidores cloud da Amazon.
Negligência ao mais alto nível e uma clara violação dos deveres de vigilância do Facebook, a única entidade com quem os utilizadores interagem directamente.
De entre os parceiros culpados pelo facto, há um que se destaca, a plataforma digital mexicana denominada por Cultura Colectiva. No endereço https://culturacolectiva.com/en a informação desses 540 milhões de registos estava disponível e acessível para descarga.
A situação foi entretanto corrigida, mas a exposição destes dados ocorreu durante um largo período de tempo.
Outras entidades responsáveis é a empresa responsável por uma aplicação já extinta denominada At the Pool e que possuia tambem exposta a informação de 22 mil pessoas, com nomes, e-mails e passwords da rede social.
Basicamente estas histórias mostram bem a forma descuidada e despreocupada como o facebook armazenava dados pessoais de todos nós. Dados aos quais absolutamente ninguém deveria ter acesso. E a empresa assumia uma postura na qual, após os dados serem cedidos, não se preocupava com o que lhes acontecia, entendendo que a responsabilidade deixava de ser sua. Algo que não podia ser mais errado!
Esperemos por isso que o Facebook seja forçado a pagar por estes erros. O dano está feito e as consequências podem só se vir a perceber dentro de vários anos, com consequências que não podem ser previstas. Os dados são das pessoas, estavam confiados à guarda do Facebook, e era sua obrigação mantê-los privados.
Facebook pedia a password do e-mail
Esta é das situações mais caricatas que já li, mas aconteceu.
Durante a inscrição no Facebook, e depdendendo do e-mail introduzido, o Facebook pedia ao utilizador que introduzisse a password que dava acesso à conta de e-mail.
Naturalmente este é um dado que não só não é necessário, como nunca deve ser pedido. É um dado sagrado e a que ninguém tem o direito de ter acesso. Cremos que a maior parte dos utilizadores terá cancelado a inscrição ao ver este pedido, mas claro, muitos terão, inocentemente fornecido esse dado.
A password do e-mail é dos dados que mais pode comprometer a segurança de um utilizador. E nenhuma empresa está no direito de a pedir. Mas a realidade é que se o servidor de e-mail não fosse um dos mais conhecidos, como o Gamil ou Outlook, a rede solicitava a password.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
O Facebook alega que o pedido estava relacionado com serviços de e-mail que não possuem suporte para OAuth, e que sem este protocolo de validação de e-mails não era possível verificar-se a validade dos mesmos, sendo necessária a password para se entrar no mesmo e assim confirmar a sua existência.
Inaceitável. O Facebook coloca os seus interesses acima dos do seu utilizador, sacrificando a privacidade em favor de garantir a veracidade de um e-mail. Algo que poderia ser facilmente resolvido com um alerta de que o e-mail não podia se verificado, solicitando-se outro.
A rede social refere que os dados não era armazenados e nem acessíveis aos funcionários. Curiosamente algo que já ouvimos antes, mas a realidade é que os escândalos de fuga de informação não param de aparecer,