Outro enorme erro de segurança no Facebook expõe dados de milhões

Embora estejamos a um ano do enorme escândalo do Cambridge Analytica no Facebook, estamos nos lembrando dele hoje com mais dois exemplos de aplicativos do Facebook de terceiros que manipulam incorretamente os dados do usuário. Ambos os aplicativos armazenaram dados coletados de usuários do Facebook em bibliotecas do Amazon S3 publicamente acessíveis, e embora seja difícil entender quantos usuários tiveram seus dados expostos, é provável que o número alcance bem os milhões.

A primeira instância de dados de usuários expostos recai sobre a Cultura Colective, uma empresa de mídia sediada na Cidade do México. A empresa armazenou 540 milhões de registros nos usuários do Facebook, totalizando 146 GB de dados que incluíam desde comentários e gostos até nomes de contas e IDs do Facebook. A segunda instância é o trabalho do aplicativo integrado ao Facebook At the Pool, que publicou dados de texto simples em 22.000 usuários do Facebook em um bucket público do Amazon S3.

Isso inclui senhas para o aplicativo At the Pool, empresa de segurança que o UpGuard escreveu em um relatório hoje. Embora isso não possa colocar em risco os usuários do Facebook, é uma má notícia para qualquer um que tenha usado a mesma senha no At the Pool e em qualquer outra coisa, incluindo o Facebook - uma prática que infelizmente é muito comum entre os usuários da Internet.

Ambos os buckets do Amazon S3 tiveram os downloads públicos habilitados, então tudo o que seria necessário seria que alguém com intenções menos que honestas se deparasse com essas bibliotecas para que os dados caíssem em mãos erradas. O UpGuard escreve que o conjunto de dados do At the Pool, que não está ativo desde 2014, foi realmente desativado, pois estava elaborando o relatório de hoje, para que determinado problema acabasse se resolvendo.

No caso dos dados comprometidos pela Cultura Coletiva, parece que fazer com que alguém se preocupe com o fato de que tudo isso foi revelado foi uma odisséia em si. A UpGuard disse que primeiro entrou em contato com a Cultura Coletiva em 10 de janeiro deste ano e seguiu com um segundo e-mail em 14 de janeiro. Apesar de seus esforços, ainda não ouviu falar da empresa.

Percebendo que, para o beco sem saída, o UpGuard entrou em contato com a Amazon em 28 de janeiro e recebeu uma resposta em 1º de fevereiro, que observou que o proprietário do bucket havia sido informado do problema. Mais tarde naquele mês, quando a biblioteca ainda não havia sido colocada off-line, a UpGuard entrou em contato novamente com a Amazon e recebeu uma resposta informando que a AWS investigaria uma possível solução por conta própria.

Avanço rápido até hoje e esse balde S3 ainda estava acessível publicamente. Não foi até que o pessoal da Bloomberg entrou em contato com o Facebook hoje cedo que o problema foi resolvido, com a biblioteca agora protegida.

Mesmo que os dados públicos sejam protegidos, isso não é uma boa ideia para o Facebook. "Essas duas situações falam do problema inerente da coleta de informações em massa: os dados não desaparecem naturalmente, e um local de armazenamento abandonado pode ou não receber a atenção necessária", escreveu a UpGuard, acrescentando que, embora Mark Zuckerberg Comprometidos no ano passado para melhor bloquear o Facebook, os dados sobre seus usuários já estão "muito além dos limites do que o Facebook pode controlar hoje".

História TimelineIgnore os conselhos de segurança do FacebookVocê pode deixe o Facebook agora, assim diz que o plano de privacidade do Facebook deve aterrorizá-lo

Via: Slash Gear