O Facebook começou a alertar seus usuários sobre o incidente de segurança ocorrido em 25 de setembro,
com milhões de dados de perfis acessados por pessoas não-autorizadas.
Entre o fim da tarde e começo da noite desta terça-feira (16), a rede
social começou a exibir alertas no topo da linha do tempo de seus
utilizadores, prestando mais informações sobre o acontecimento e
exatamente quais dados foram acessados.
A mensagem inicial é mais
genérica, indicando que dados como nome, e-mail, número de telefone,
data de nascimento e localizações recentes teriam sido obtidos por
terceiros. Clicar no botão de "Saiba mais", na sequência, traz mais
informações sobre a vulnerabilidade e mostra precisamente quais dados
foram visualizados durante o comprometimento das informações de mais de 50 milhões de pessoas.
Os
casos variam em extensão, mas o Facebook é preciso, de maneira
individual, sobre os dados que teriam sido acessados pelos invasores,
que se aproveitaram de uma vulnerabilidade no sistema de tokens de login
da rede social. As informações que podem ter sido vazadas incluem:
- Nome;
- Endereço de e-mail principal;
- Número de telefone mais recente;
- Data de nascimento;
- Páginas ou pessoas seguidas pelo usuário;
- As 15 pesquisas mais recentes realizadas na rede social;
- As dez últimas localizações de check-in ou marcações dessa categoria;
- Gênero;
- Idioma;
- Dispositivos usados para acesso;
- Status de relacionamento;
- Religião;
- Cidade natal e atual;
- Informações sobre trabalho e educação;
- Site pessoal.
Por
outro lado, o Facebook é claro em afirmar que dados ainda mais
sensíveis, como as senhas das contas ou informações financeiras, como
números de cartão de crédito, não foram obtidos. O alerta corrobora
informações antigas da empresa, que dispensava a necessidade de troca da
palavra-chave pelo fato de o problema estar em seu sistema de tokens e
não na criptografia ou transmissão de dados entre os dispositivos dos
usuários e os servidores, o que levaria ao comprometimento das
credenciais.
Como
estamos falando de um universo de 50 milhões de pessoas em todo o
mundo, essa notificação está sendo feita em fases. O mesmo link usado
pelos afetados para verificarem as informações pessoais que foram
obtidas, entretanto, pode ser acessado por qualquer um e permite ver o status dessa verificação ou, quem sabe, receber a boa notícia de que nenhuma de suas informações foi acessada.
Novamente,
as mensagens podem variar. Em alguns casos, o Facebook é taxativo sobre
o fato de que os dados não foram obtidos de maneira indevida, enquanto,
em outros, afirma que a investigação ainda está em curso, mas que
indícios dessa categoria não foram encontrados. Por enquanto, somente os
usuários que tiveram seus dados visualizados por terceiros estão sendo
informados diretamente pela plataforma.
O que aconteceu
A
vulnerabilidade citada nos alertas do Facebook esteve disponível entre
14 e 27 de setembro devido ao que a empresa chamou de uma “complexa
interação de três erros” no sistema. O problema, de acordo com especialistas da rede social,
começou na ferramenta de upload de vídeos, que gerou uma abertura no
sistema que permitia ao usuário visualizar o próprio perfil como ele é
exibido para outras pessoas que não o tenham adicionado, por exemplo.
A
partir daí, hackers teriam obtido acesso aos tokens de acesso à rede
social, utilizado por aplicativos para uso das funções do Facebook e,
também, na conexão entre aplicativos e navegadores aos sistemas da
companhia. No dia 28 de setembro, 90 milhões de usuários ao redor do
mundo foram deslogados, com a ação, segundo a empresa, servindo para
renovar os tokens e desativar aqueles com problemas, substituindo-os por
novos.
Nenhum comentário:
Postar um comentário