Outro grande erro de segurança do Facebook expõe dados de milhões

Outro grande erro de segurança do Facebook expõe dados de milhões

Embora estejamos a um ano do escândalo maciço do Cambridge Analytica no Facebook, hoje estamos sendo lembrados com mais duas instâncias de aplicativos de terceiros do Facebook que manipulam dados de usuários. Ambos os aplicativos armazenaram dados coletados de usuários do Facebook em bibliotecas Amazon S3 acessíveis ao público e, embora seja difícil controlar quantos usuários tiveram seus dados expostos, é provável que o número ultrapasse os milhões.

A primeira instância de dados de usuários expostos recai na Cultura Colective, uma empresa de mídia sediada na Cidade do México. A empresa armazenou 540 milhões de registros em usuários do Facebook, totalizando 146 GB de dados que incluíam tudo, desde comentários e curtidas a nomes de contas e IDs do Facebook. A segunda instância é o trabalho do aplicativo integrado ao Facebook At the Pool, que publicou dados de texto sem formatação de 22.000 usuários do Facebook em um bucket público do Amazon S3.

Isso inclui senhas para o aplicativo At the Pool, a empresa de segurança UpGuard escreveu em um relatĂłrio hoje. Embora isso possa nĂŁo colocar em risco os usuários do Facebook, Ă© uma má notĂ­cia para quem usou a mesma senha para o At the Pool e qualquer outra coisa, incluindo o Facebook – uma prática que infelizmente ainda Ă© muito comum entre os usuários da Internet.

Ambos os buckets do Amazon S3 tinham downloads pĂşblicos habilitados, portanto, tudo o que seria necessário para alguĂ©m com intenções menos honestas de encontrar essas bibliotecas para que esses dados caiam nas mĂŁos erradas. O UpGuard escreve que o conjunto de dados do At the Pool – que nĂŁo está ativo desde 2014 – foi colocado offline quando estava elaborando o relatĂłrio de hoje, de modo que esse problema especĂ­fico acabou se resolvendo.

No caso dos dados comprometidos pela Cultura Colective, parece que alguém se preocupa com o fato de que tudo isso foi exposto em aberto, era uma odisséia em si. O UpGuard disse que chegou ao Coletivo Cultura em 10 de janeiro deste ano e seguiu com um segundo e-mail em 14 de janeiro. Apesar de seus esforços, ainda não recebeu resposta da empresa.

Percebendo que era para o beco sem saída, a UpGuard entrou em contato com a Amazon em 28 de janeiro e recebeu uma resposta em 1º de fevereiro, informando que o proprietário do balde havia sido informado do problema. Mais tarde naquele mês, quando a biblioteca ainda não havia sido colocada offline, o UpGuard entrou em contato novamente com a Amazon e recebeu uma resposta informando que a AWS procuraria por si própria uma solução potencial.

Avanço rápido de hoje e esse bucket S3 ainda estava acessível ao público. Não foi até o pessoal da Bloomberg entrar em contato com o Facebook hoje mais cedo que o problema foi resolvido, com a biblioteca agora protegida.

Embora agora os dados pĂşblicos estejam protegidos adequadamente, essa nĂŁo Ă© uma boa aparĂŞncia para o Facebook. “Essas duas situações falam do problema inerente Ă  coleta de informações em massa: os dados nĂŁo desaparecem naturalmente e um local de armazenamento abandonado pode ou nĂŁo receber a atenção necessária”, escreveu o UpGuard hoje, acrescentando que, embora Mark Zuckerberg comprometidos no ano passado com o melhor bloqueio do Facebook, os dados de seus usuários já “foram espalhados muito alĂ©m dos limites do que o Facebook pode controlar hoje”.

0 Shares