Mais um dia, mais uma crassa violação da nossa privacidade ou segurança dos nossos dados. Aliás, já se torna um hábito, demasiado recorrente, expôr este tipo de situações pelo que me absterei de fazer qualquer tipo de introdução. A rede social deixou escapar vários milhares de passwords do Facebook Lite, Instagram, bem como do próprio Facebook. Confrontada com o caso, a empresa desvaloriza a ocorrência.
Durante vários anos, cerca de 20 mil colaboradores do Facebook tiveram acesso a mais de 600 milhões de passwords dos utilizadores. As nossas credenciais estavam simplesmente guardadas como simples texto.
Antes de mais nada, a rede social já garantiu que iria avisar centenas de milhares de utilizadores face ao sucedido. Em causa está o registo e armazenamento das passwords (palavras-passe) num simples ficheiro de texto. Além disso, o mesmo pôde ser consultado por cerca de 20 mil colaborares durante anos a fio.
600 milhões de passwords ao dispor de 20 mil colaboradores
As credenciais foram guardadas num dos servidores da rede social num simples ficheiro de texto durante vários anos. Contudo, em janeiro passado o Facebook apercebeu-se do sucedido e, ao investigar os primeiros indícios de que algo não estava conforme as regras, descobriram esta colossal falha de segurança.
Por razões não declaradas, 600 milhões de passwords acabaram indevidamente guardadas como simples texto nos seus servidores. Relembro aqui que os sistemas do Facebook devem mascarar as passwords submetidas, com o intuito de as proteger, mesmo do staff da rede social. Algo que não se verificou no caso em apreço.
Face ao ocorrido, a rede social notificará centenas de milhares de utilizadores do Facebook Lite, a aplicação ou app mais leve para dispositivos móveis. Sendo concebida para quem dispõe de uma ligação à Internet mais lenta, ou cujo dispositivo móvel é mais limitado. A aplicação está disponível para dispositivos móveis Android.
Utilizadores do Facebook Lite e Instagram foram os mais afetados
Com efeito, a rede social reconhece que vários milhares de contas do Instagram foram afetadas. O mesmo sucedendo com um considerável número de perfis na versão convencional do Facebook. Aliás, o que aqui está em causa é o armazenamento indevido das credenciais de acesso a partir das aplicações móveis.
O caso foi, entretanto, investigado pela Krebs on Security que apontou esta prática recorrente. Em alguns casos desde 2012 que as passwords estavam a ser armazenadas de forma completamente desprotegida. Ainda de acordo com o seu relatório, também o Github e o Twitter reconheceram práticas similares no passado.
Assim sendo, a rede social vai avisar todos os utilizadores do Instagram, Facebook Lite e da aplicação convencional do Facebook. Para a rede social, o caso acabaria aqui, não merecendo mais destaque do que um simples aviso. Quem quiser, que mude a respetiva palavra-passe.
Em causa está o armazenamento desprotegido de 600 milhões de passwords
Felizmente ninguém saiu magoado e podemos já esquecer o caso. Esta é a postura da rede social na sua mais recente nota à imprensa, esclarecendo a situação. Intitulada de “Keeping Passwords Safe” ou, mantendo as palavras-passe seguras, a tecnológica é bastante ágil a escamotear o sucedido.
Pela palavra de Pedro Canahuati, o vice-presidente de engenharia, segurança e privacidade do Facebook, as credenciais “nunca estiveram acessíveis a alguém fora do Facebook”. Ainda que um uso indevido desta informação pudesse ter sido catastrófico, a verdade é que (pelo menos aparentemente) nada aconteceu.
Este executivo garante que “não encontramos indícios de que ninguém, internamente, tenha feito uso indevido ou acedido às passwords”. Durante o seu comunicado, Canahuati não especificou a dimensão do caso, nem quantos utilizadores do Facebook, Facebook Lite e Instagram possam ter sido envolvidos.
Milhares de credenciais do Instagram, Facebook e Facebook Lite
O caso adensa-se com a delação de um dos seus colaboradores à Krebs on Security, expondo a verdadeira dimensão do sucedido. Rapidamente se constatou que o evento não era tão “discreto” como o vice-presidente de engenharia, segurança e privacidade o quis descrever. Não foram apenas umas centenas de contas.
Desde 2012, mais de 20 000 colaboradores do Facebook podiam aceder a estes dados, uma vez que as passowords não foram mascaradas. A propósito, no final de 2018 a rede social empregava 35 587 colaboradores. Rapidamente concluímos que grande parte do seu staff podia lançar mão destes dados.
in a statement about this gigantic fuckup https://t.co/RHSPQQcnGe Facebook refers to hundreds of millions of exposed user passwords as "some user passwords" in a PR post titled "Keeping Passwords Secure." Just incredible.
— Sam Biddle (@samfbiddle) March 21, 2019
Ainda nesta tónica, com base na análise dos registos de acesso à base de dados, cerca de 2 mil engenheiros e programadores, fizeram mais de 9 milhões de pedidos (requests) para acesso às informações e outros elementos. Em todas essas situações, as passwords estavam visíveis como simples texto.
Mais ainda, em nada abonou a imagem da rede social a sua tentativa de menosprezar o caso. Assim sendo, a sua utilização de “algumas passwords de utilizadores”, para se referir aos 600 milhões em causa, é de muito mau tom. Ainda que numa outra altura esta falsa de sensibilidade pudesse ser perdoada, o período de graça da rede social há muito que passou.
Em suma, mais um dia normal para o Facebook
Em suma, este é apenas o mais recente caso que coloca o Facebook debaixo de fogo. Recordamos o sucedido em outubro passado, em que um hacker obteve acesso a mais de 29 a 30 milhões de contas. Ou até mesmo os 81 milhões de conversas privadas dos utilizadores que estiveram à venda num passado ainda recente.
Ainda mais recentemente, em dezembro de 2018, comprovou-se a entrega de mensagens privadas a 150 empresas. Recuando um pouco mais, em junho de 2018, algo similar também teve lugar. Aliás, aqui só para nomear alguns exemplos. E claro, o “pequeno” caso chamado Cambridge Analytica.
Agora, resta apenas saber quando será “o próximo caso”.