O site Business Insider noticiou este fim de semana, que dados pertencentes a mais de 500 milhões de contas da rede social Facebook foram publicados num fórum. A informação que está nesta publicação, inclui os ID do Facebook, nomes completos, notas biográficas, números de telefone, datas de nascimento, localizações e, em certos casos, endereços de email de utilizadores de 106 países, incluindo Portugal.
Estes dados foram obtidos em 2019, através da exploração de um erro no software da rede social, que permitia a obtenção desses dados, através de uma técnica chamada ‘scraping‘, que permite ler conteúdo de um site e estruturar a informação obtida para análise ou utilização posterior. Segundo o Facebook, o problema foi detectado e resolvido no mesmo ano. A técnica utilizada neste roubo de dados de 2019, é algo semelhante à utilizada pela Cambridge Analytica, que levou a uma alteração profunda na forma como o Facebook disponibiliza os dados dos utilizadores a terceiros.
In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.
It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm
— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021
O Business Insider analisou uma amostra dos dados publicados e conseguiu verificar sua veracidade, através do cruzamento de dados do ID do Facebook com os números de telefone. Também foram inseridos endereços de email no sistema reposição de passwords do Facebook (que mostra parte do número de telefone) para ver se as contas publicadas eram reais.
Segundo Alon Gal, fundador da empresa de segurança israelita Hudson Rock, apesar de os dados serem antigos, podem ainda ser utilizados para levar a cabo ataques utilizando técnicas de engenharia social.
De acordo com a notícia do Business Insider, Gal foi o primeiro a descobrir que os dados tinham sido publicados. Mas esta não foi a primeira vez que ele tinha ouvido falar da existência desta base de dados. Em Janeiro já tinha chamado a atenção para a existência de um bot de Telegram que, através de um pagamento, permitia encontrar números de telefone ligados a contas específicas de Facebook presentes neste conjunto de dados.
Ainda segundo este especialista em segurança, devido à publicação dos dados, neste momento o Facebook pouco pode fazer para ajudar os utilizadores para além de os avisar acerca da sua utilização em fraudes ou outras actividades ilegais.