Nesta sexta-feira, 28, o Facebook anunciou em seu site que na última terça-feira, 25, houve um “incidente de segurança”. O fato é que pelo menos 50 milhões de contas de usuários podem estar em risco depois que hackers exploraram uma vulnerabilidade de segurança no site. “Nós estamos levando isso muito a sério e queremos avisar a todos sobre as ações imediatas que estamos tomando para proteger a segurança das pessoas”, escreveu o vice-presidente de gerenciamento de produto Guy Rosen.

Os invasores exploraram uma vulnerabilidade na funcionalidade “Ver como”, que permite às pessoas verem como seus perfis aparecem para outras pessoas. Eles, então, roubaram tokens de acesso à plataforma, e os usaram para entrar nas contas das pessoas. Tokens de acesso são como chaves digitais que mantêm as pessoas logadas no Facebook para que não precisem digitar novamente sua senha toda vez que acessam o aplicativo.

Rosen afirma que a plataforma já corrigiu a vulnerabilidade, invalidaram os tokens de quase 50 milhões de pessoas afetadas e que eles têm certeza de que foram afetadas pela ação dos hackers. Disse ainda que desativou a funcionalidade “Ver como” enquanto analisam sua segurança.

O Facebook afirmou também que redefiniu os tokens de acesso de todos os usuários afetados, além de 40 milhões de contas adicionais, por precaução. Isso significa que cerca de 90 milhões de usuários terão sido desconectados de suas contas – no telefone ou no computador – no último dia. Ou seja, após se logarem novamente, as pessoas receberão uma notificação no topo do seu Feed de Notícias explicando o que aconteceu.

O vice-presidente de gerenciamento de produto explicou que o ataque aconteceu depois que houve uma alteração de código feita na ferramenta de upload de vídeo, que aconteceu em julho de 2017 e teria afetado a funcionalidade acessada pelos invasores.

“Como estamos apenas começando a nossa investigação, ainda temos que determinar se essas contas foram mal utilizadas ou se alguma informação foi acessada. Nós também não sabemos quem está por trás desses ataques ou onde os invasores estão localizados. Estamos trabalhando muito para entender melhor esses detalhes – e iremos atualizar este post quando tivermos mais informações, ou caso os fatos mudem. Além disso, caso encontremos mais contas afetadas, iremos imediatamente invalidar os seus tokens de acesso.”

O CEO Mark Zuckerberg disse em uma teleconferência que a empresa não sabe se contas foram acessadas indevidamente, embora tenha dito que os invasores tentaram acessar as informações da conta consultando suas APIs de desenvolvedor.

“Até agora, nossa investigação inicial não mostrou que esses tokens foram usados para acessar mensagens ou postagens privadas ou postar qualquer coisa nessas contas”, disse Zuckerberg a repórteres. “Mas isso, claro, pode mudar à medida que aprendemos mais. Os invasores usaram nossas APIs para acessar campos de informações de perfil, como nome, sexo, cidade natal etc. Mas ainda não sabemos se alguma informação privada foi acessada dessa maneira ”, disse ele.

Esclarecimentos

O Facebook disse que o FBI está investigando. Como os usuários na Europa também são afetados, a empresa disse que informou às autoridades de proteção de dados na Irlanda – onde a sede europeia da empresa está localizada.

No Twitter, o Data Protection Commission (DPC) Ireland se pronunciou, afirmando o seguinte: “A DPC está preocupada que essa violação tenha sido descoberta na terça-feira, pois afeta milhões de usuários. Atualmente, o Facebook não consegue esclarecer a natureza da violação e dos riscos para os usuários. Estamos pressionando o Facebook para esclarecer urgentemente esses assuntos.”

O senador Mark Warner, vice-presidente do Comitê de Inteligência do Senado, alertou em uma declaração sobre os “perigos” representados por empresas que são “capazes de acumular tantos dados pessoais sobre indivíduos americanos sem medidas de segurança adequadas”.

Mobi-ID

Os desafios na gestão de identidades e dados pessoais de usuários será tema do painel de abertura do seminário Mobi-ID, que acontecerá no dia 26 de novembro, no WTC, em São Paulo. O evento discutirá também as diferentes técnicas de autenticação digital, das senhas e tokens até a biometria, assim como conceitos como identidade autossoberana. A programação conta com participações confirmadas de executivos do Banco do Brasil, PayPal, GSMA, Gemalto, FullFace, Trigg, Outback, CoffeeBean Technology, dentre outros. A agenda atualizada e mais informações estão disponíveis em www.mobi-id.com.br, ou pelo telefone 11-3138-4619, ou pelo email [email protected].