Pplware

Mesmo desligado o Facebook espia-o

As questões de segurança já ultrapassam o que os olhos conseguem ver e que a razão consegue explicar, tudo tem um mas… e quem conta um conto, actualmente acrescenta um buraco… na segurança. O Facebook é um local de contos e encontros mas é um local que o expõe a sérios problemas de privacidade.

Para não ter problemas, desligue o Facebook… mas agora nem isso chega, ao que parece!

ACTUALIZAÇÃO (27/09/2011 – 23h): O Facebook, após ter negado as acusações de “espiar” a actividade do internauta mesmo após o logout, recorrendo aos Cookies, acabou por modificar hoje o comportamento do Cookies. Foi revelado, por um porta-voz/engenheiro, o verdadeiro motivo para ainda assim existirem alguns Cookies, descartando por completo qualquer intenção de monitorizar o utilizador. [+info]

Na semana passada, um investigador que já conhecemos como sendo um curioso das redes socias, Nik Cubrilovic, descobriu que os Cookies do Facebook permitem que mesmo o serviço estando desligado, possa ser feito um rastreio à actividade Web de um utilizador, recolhendo informação sobre os sites que este visita… sim, mesmo que tenha feito o logout do Facebook!

Esta recolha de informação continua activa porque o mecanismo hoje usado nas páginas da Internet, que permitem o Like, recolhe activamente essa função e caso o Facebook tenha o login feito este dispara o Like e permite que o post seja colocado no perfil do utilizador.

Caso o utilizador tenha o Facebook em logout (sem as credenciais inseridas e activas) o Cookie continua a detectar o mecanismo Like nas páginas pois este não é excluído com o logout, como deveria ser. Este continua com o ID do utilizador e detecta todo o percurso que este faz pela Net.

Este tipo de informação é muito valiosa para quem gere uma estrutura social, como o Facebook, pois determina o tipo de comportamento e fortes alvos para o serviço se expandir, tendo em conta hábitos e conhecimentos do utilizador.

Nik Cubrilovic fez um teste e dá conta que, depois de criar algumas contas falsas do Facebook e usando cada uma delas por um certo período de tempo, o Facebook sugeriu a sua conta original como amigo aquelas contas falsas que ele usou por algum tempo.

Esta promiscuidade provou que não haveria forma do Facebook saber da familiaridade entre utilizadores se não recorresse a algum método que gravasse o processo mesmo quando ele fazia logout de uma conta e login na outra. Estes métodos não são novos, mas na verdade não são tidos como função nativa ao serem apresentados ao utilizador, sendo assim uma invasão da privacidade do utilizador.

Informação complementar acerca do método

Após um login normal na conta do Facebook, pela interface Web, é originado o seguinte Cookie:

datr=tdnZTOt21HOTpRkRzS-6tjKP;

lu=ggIZeheqTLbjoZ5Wgg;

openid_p=101045999;

c_user=500011111;

sct=1316000000;

xs=2%3A99105e8977f92ec58696cf73dd4a32f7;

act=1311234574586%2F0;

    O pedido para a função de logout recebe a resposta do servidor que tenta desactivar os seguintes Cookies.

Set-Cookie:

_e_fUJO_0=deleted;

expires=Thu, 01-Jan-1970 00:00:01 GMT;

path=/; domain=.facebook.com; httponly

c_user=deleted;

expires=Thu, 01-Jan-1970 00:00:01 GMT;

path=/; domain=.facebook.com; httponly

fl=1; path=/; domain=.facebook.com; httponly

L=2; path=/; domain=.facebook.com; httponly

locale=en_US;

expires=Sun, 02-Oct-2011 07:52:33 GMT;

path=/; domain=.facebook.com

lu=ggIZeheqTLbjoZ5Wgg;

expires=Tue, 24-Sep-2013 07:52:33 GMT;

path=/; domain=.facebook.com; httponly

s=deleted;

expires=Thu, 01-Jan-1970 00:00:01 GMT;

path=/; domain=.facebook.com; httponly

sct=deleted;

expires=Thu, 01-Jan-1970 00:00:01 GMT;

path=/; domain=.facebook.com; httponly

W=1316000000;

path=/; domain=.facebook.com

xs=deleted;

expires=Thu, 01-Jan-1970 00:00:01 GMT;

path=/; domain=.facebook.com; httponly

    Para ver facilmente os Cookies desactivados basta reparar nos nomes sublinhados. Se se compararem os Cookies que foram activados no pedido de login com os Cookies desactivados no pedido de logout, é possível reparar facilmente que há vários Cookies que não foram apagados e há dois (locale e lu) que recebem novas datas de validade. Há ainda três novos Cookies (W, fl e L) que são definidos.

Ao carregar a página do Facebook novamente mas agora sem qualquer conta aberta (como um novo utilizador), é possível ver o seguinte.

Cookie:

datr=tdnZTOt21HOTpRkRzS-6tjKP;

openid_p=101045999;

act=1311234574586%2F0;

L=2;

locale=en_US;

lu=ggIZeheqTLbjoZ5Wgg;

lsd=IkRq1;

reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3 Dbf0ed2e54fbcad0baaaaa32f88152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw;

reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3 Dbf0ed2e54fbcad0b1aaaaa152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw;

    O primeiro Cookie que identifica o primeiro utilizador ainda se encontra lá (act é o número de utilizador), mesmo após ter sido feito logout e estando fora da conta. O pedido de logout envia ainda nove diferentes Cookies, incluindo os mais relevantes na identificação do utilizador.

Este comportamento levanta uma maior preocupação quando as pessoas utilizam máquinas públicas para navegar e visitar o seu perfil, pois deixam ficar o seu ID e informação pessoal gravada em computadores acessíveis a qualquer utilizador.

Com os inúmeros serviços conexos ao Facebook, plugins e muitas outras funcionalidades que as pessoas usam sobre o Facebook, o ideal seria que ao fazer o logout estes Cookies fossem apagados, não sendo mesmo possível recuperar de forma simples na pesquisa pela superfície do disco, isto pela informação que recolhem pois esta é sensível e privada.

Este comportamento, de usurpação da privacidade de cada individuo na Web, não é novo mas está a tornar-se feroz, as grandes empresas como a Google, Microsoft, Apple, Facebook… entre outras, estão constantemente o ultrapassar os limites da idoneidade no que se refere à protecção da privacidade dos seus utilizadores.

Segundo a fonte, o Facebook foi contactado no sentido de esclarecer estes factos. Inicialmente Nik enviou um email no dia 14 de Novembro de 2010, quer para o contacto de questões quer para o contacto de imprensa de forma a obter uma resposta oficial. Não foi recebida qualquer reposta. Mais tarde, a mesma acção foi repetida e, adicionalmente, para “alguém conhecido” na equipa do Facebook no dia 12 de Janeiro de 2011. Novamente, não foi recebida qualquer resposta. Nik salienta ainda que foi tudo exposto de forma clara e a importância desse assunto foi devidamente elevada. [via]

Afinal alguém controla a privacidade do cidadão?
Exit mobile version