Advertisement

Facebook: falha vaza 6,8 milhões de fotos privadas

Vazam as informações de 120 milhões de CPFs na internet

Informática / 14 Dezembro 2018

Nesta sexta-feira, em um post na página voltada para desenvolvedores, o Facebook revelou que um erro na plataforma permitiu que aplicativos terceiros tivessem acesso a fotos de 6.8 milhões de usuários. O ‘bug’ inclusive daria acesso a fotos que foram postadas na rede social, mas que não haviam sido compartilhadas com amigos ou o público. A falha já foi corrigida.

De acordo com a postagem da empresa, a falha no Facebook durou 12 dias e expôs as imagens pessoais de alguns usuários entre 13 e 25 de setembro deste ano. Cerca de 1,5 mil aplicativos de 876 desenvolvedores podem ter conseguido acessá-las. "Corrigimos o problema, mas, devido ao bug, alguns aplicativos de terceiros podem ter tido acesso a um conjunto de fotos mais amplo do que o normal por 12 dias", diz o aviso.

Facebook irá notificar as pessoas que foram afetadas por essa falha via mensagem na rede social.

Segundo as informações, o erro acontecia quando alguém dava permissão de acesso a um aplicativo terceiro para que visualizasse as fotos do usuário na rede social. “Nós geralmente só permitimos acesso às fotos que são postadas na linha do tempo. Neste caso, o bug potencialmente deu a desenvolvedores acesso a outras fotos, como as postadas no Marketplace ou nas Stories. O erro também afetou fotos postadas e não compartilhadas”, afirma o autor.

Na nota, a plataforma pede desculpas e diz que lançará ferramentas para "excluir as fotos [acessadas irregularmente] do usuários afetados".

CPF e dados importantes

A InfoArmor, empresa de segurança digital que ajuda a proteger os usuários do Windows de spywares, vírus, trojans e demais softwares perigosos, informou que 120 milhões de CPFs estavam comprometidos em um servidor de dados na internet. A descoberta ocorreu em março, porém a empresa só alertou o caso na última terça-feira. A InfoArmor descobriu um servidor aberto durante uma de suas varreduras regulares na internet para detectar máquinas comprometidas, criação de reputação de endereços IP e agentes de ameaça.

Segundo a empresa, alguém renomeou o arquivo “Index” do servidor para “index”, revelando o conteúdo do diretório para qualquer pessoa que conhecesse o nome do arquivo ou que navegasse nele teria acesso irrestrito a todas as pastas e arquivos dentro. A InfoArmor disse que esta descoberta não foi um ataque hacker ou violação: a informação era livremente acessível a qualquer pessoa que tivesse acesso ao endereço do banco de dados.

Os dados expostos no servidor continham ainda outras informações sensíveis sobre brasileiros ligadas a cada CPF exposto, como histórico de empréstimos bancários, de débito e crédito, e também dados pessoais como nome completo, contatos de família e informações de empregadores. “É muito provável que oponentes sofisticados reuniram esta informação. Demorou mais de um ano para os dados roubados do Yahoo serem colocados à venda na dark web, e dados tão exclusivos quanto os disponíveis no servidor provavelmente estão entre os dados mais negociados na dark web”, diz o chefe de segurança da informação da InfoArmor, Christian Lees.

Duas medidas de segurança simples poderiam ter impedido isso: não renomear o arquivo index.html principal ou proibir acesso através da configuração do .htaccess. Nenhuma dessas medidas básicas de segurança cibernética estava em vigor”, afirmou Lees.

A empresa comparou a falha ao vazamento ao dos dados de 143 milhões de americanos em 2017, quando hackers invadiram o sistema da empresa de gestão de crédito Equifax. “Infelizmente, não é incomum que encontremos regularmente dados vazados em ambientes inseguros. Com a louca corrida para compartilhar serviços de nuvem alugada, estamos vendo uma enorme quantidade de dados vazados que é potencialmente 10 vezes maior do que a o que a atividade real do agente de ameaça”, afirmou Christian Lees.