A última semana não foi a melhor para o Facebook. A primeira má notícia é que a rede social tem solicitado aos novos usuários o endereço e a senha da conta de e-mail utilizada para cadastro no Facebook como parte do processo de verificação para registrar novas contas - o que representa um risco para a segurança dos usuários. A segunda má notícia, divulgada na quarta-feira (03) e que também tem como protagonista o Facebook, é a descoberta de mais de 540 milhões de registros de usuários que estavam hospedados em servidores da Amazon sem proteção.
Registros de mais de 540 milhões de usuários do Facebook são expostos publicamente
Na quarta-feira (03), os pesquisadores da UpGuard revelaram que os servidores usados por dois desenvolvedores de aplicativos de terceiros para o Facebook expuseram dados de milhões de usuários que estavam armazenados em servidores da Amazon configurados incorretamente, deixando as informações disponíveis publicamente.
Um desses servidores pertence a empresa de mídia mexicana Cultura Colectiva, que armazenava 146 GB com mais de 540 milhões de registros que continham dados como nomes e IDs de usuários, informações variadas relacionadas aos gostos e interesses dos usuários, como "likes", comentários, entre outras coisas.
O segundo, também armazenado em um servidor Amazon (Amazon S3 bucket), pertence ao aplicativo "At the Pool" e contém informações como senhas em texto simples, além de outros dados dos usuários, como interesses, amigos, músicas, entre outros. Segundo os pesquisadores, acredita-se que as senhas descobertas no banco de dados eram do próprio aplicativo, mas como muitos usuários usam a mesma senha para outros serviços, a exposição representa um risco ainda maior.
Facebook solicita endereço e senha do e-mail dos usuários
A outra notícia foi divulgada em 31 de março por um especialista em cibersegurança, conhecido como e-sushi, quando através de sua conta no Twitter publicou a constatação de que o Facebook vem solicitando aos novos usuários que decidem se registrar na rede social que insiram o endereço e a senha de sua conta de e-mail como parte do processo de verificação. Embora isso não seja para todos os serviços de e-mail, o armazenamento dessas informações representa um risco para a segurança dos usuários.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 de marzo de 2019
De acordo com uma declaração pública feita pelo Facebook ao Daily Beast, a empresa confirmou a existência desse processo de verificação, mas assegurou que não armazena em seus servidores as senhas fornecidas pelos usuários.
De qualquer forma, o Facebook garantiu que deixará de executar essa prática de solicitar a senha do e-mail do usuário como parte do processo de verificação.
A particularidade desta última notícia é que o fato se tornou público duas semanas após o Facebook ter admitido que armazenou durante anos centenas de milhões de senhas de usuários em texto simples de forma insegura em servidores da empresa que estavam acessíveis por mais de 20.000 funcionários.
