Recentemente, uma base de dados com informações acerca de 533 milhões de utilizadores do Facebook foi exposta num fórum de hackers online. A rede social deu inicialmente a conhecer que os dados expostos "são antigos" e que se relacionam com uma vulnerabilidade que tinha sido descoberta e resolvida em 2019. Agora, a empresa liderada por Mark Zuckerberg apresenta uma explicação mais aprofundada acerca do incidente.

No seu blog oficial, a gigante tecnológica explica que as informações que fazem parte da base de dados não foram obtidas através de algum tipo de ataque aos seus sistemas. Os dados foram recolhidos a partir da plataforma antes de setembro de 2019, numa técnica comum conhecida como “scraping”.

De uma vulnerabilidade em 2019 à fuga de dados de 533 milhões de utilizadores: O novo escândalo do Facebook
De uma vulnerabilidade em 2019 à fuga de dados de 533 milhões de utilizadores: O novo escândalo do Facebook
Ver artigo

No método em questão, os atores maliciosos recorrem muitas vezes a software automatizado para recolher informações que estejam disponíveis publicamente na Internet, partilhando-as depois em fóruns.

A técnica utilizada para recolher os dados explorava uma vulnerabilidade na ferramenta de importação de contactos do Facebook que foi descoberta e resolvida em agosto desse ano, sendo noticiada pela imprensa internacional.

Embora não indique explicitamente o motivo que o levou a não notificar os utilizadores em relação à mais recente fuga de informação, o Facebook afirma apenas que, como resultado das suas ações em relação à vulnerabilidade, está “confiante” de que a ferramenta usada para a explorar já não está operacional e que o “conjunto limitado de informações” obtidas através dos perfis públicos não incluía dados financeiros e de Saúde, ou palavras-passe.

Uma justificação com inconsistências  

A descrição dada pelo Facebook acerca dos eventos que precederam o incidente e que levaram à criação da base de dados de 533 milhões de utilizadores deixa múltiplas questões “no ar”.

De acordo com a Wired, um dos problemas principais da explicação encontra-se na linha do tempo apresentada pela rede social. Como exemplo de cobertura noticiosa acerca da vulnerabilidade e das suas consequências, a empresa aponta para um artigo de setembro de 2019 da CNET, o qual cita informações avançadas pelo Tech Crunch sobre uma fuga de dados de 419 milhões de utilizadores do Facebook.

Na altura, um porta-voz da empresa tinha dado a conhecer que as informações expostas eram antigas e que pareciam ter sido recolhidas antes de ter feito alterações em 2018 para remover uma funcionalidade que permitia encontrar utilizadores através do seu contacto telefónico.

Assim, na sua explicação para o atual incidente, a empresa refere-se a uma outra fuga de dados diferente e ainda mais antiga. Contactado pela imprensa internacional acerca desta situação, o Facebook ainda não apresentou uma clarificação.

O caso chamou também a atenção da Comissão de Proteção de Dados da Irlanda (DPC na sigla em inglês) que já está a investigar se o conjunto de dados expostos inclui informação que não era previamente conhecida.

“Os conjuntos anteriores de dados que foram expostos em 2019 e 2018 relacionam-se com uma recolha massiva de informações do website do Facebook”, explica a DPC, indicando que, na altura, a rede social lhe tinha avisado que o incidente ocorreu entre junho de 2017 e abril de 2018.

Uma vez que a recolha de dados ocorreu antes da implementação do Regulamento Geral de Proteção de Dados na União Europeia, o Facebook optou por não notificar os utilizadores para o sucedido, afirma a DPC.