de terceiros do Facebook
A UpGuard Cyber Risk divulgou na semana passada que mais dois conjuntos de dados de aplicativos do Facebook desenvolvidos por terceiros foram encontrados expostos à Internet pública. Um deles, originário da empresa de mídia
Cultura Colectiva do México, pesa 146 gigabytes e contém mais de 540 milhões de registros detalhando comentários, curtidas, reações, nomes de contas, IDs de FB e mais. Esse mesmo tipo de coleta, de forma similarmente concentrada, tem sido motivo de preocupação.
Um backup separado de um aplicativo integrado ao Facebook chamado “At the Pool” também foi encontrado exposto à Internet pública por meio de um bucket do Amazon S3.
Este backup de banco de dados continha colunas para fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb + checkins, fb_interests, senha e muito mais.
As senhas são presumivelmente para o aplicativo “At the Pool”, e não para a conta do Facebook do usuário, mas colocariam em risco os usuários que reutilizaram a mesma senha nas contas.
Exemplo reduzido de dados do Facebook do conjunto de dados exposto no At the Pool.
A descoberta At the Pool não é tão grande quanto o conjunto de dados Cultura Colectiva, mas contém senhas em texto simples (desprotegidas) para 22.000 usuários.
No Pool encerrou a operação em 2014 (última captura arquivada na Web não redirecionada aqui ) e até o site da empresa controladora está retornando um aviso de erro 404.
Isso deve oferecer pouco consolo aos usuários finais do aplicativo, cujos nomes, senhas, endereços de e-mail, IDs do Facebook e outros detalhes foram abertamente expostos por um período de tempo desconhecido.
Dados contidos no conjunto de dados exposto da Cultura Colectiva.
Cada um dos conjuntos de dados foi armazenado em seu próprio bucket do Amazon S3 configurado para permitir o download público de arquivos.
Os dados sobre os usuários do Facebook se espalharam muito além dos limites do que o Facebook pode controlar hoje.
Combine essa plenitude de dados pessoais com tecnologias de armazenamento que são muitas vezes mal configuradas para acesso público, e o resultado são vazamentos de dados dos usuários do Facebook de forma totalmente fora do controle.
Exemplo redigido de dados do Facebook do conjunto de dados exposto do Cultura Colectiva.
Resposta aos Incidentes – UpGuard Cyber Risk
Essas duas descobertas separadas demonstraram duas extremidades opostas do espectro quando se trata da facilidade ou dificuldade de vê-las protegidas.
Com relação aos dados da Cultura Colectiva, nosso primeiro e-mail de notificação foi para a Cultura Colectiva em 10 de janeiro de 2019. O segundo e-mail para eles saiu no dia 14 de janeiro. Até hoje não houve resposta.
Devido aos dados serem armazenados em nuvem S3 da Amazon, nós notificamos a Amazon Web Services da situação em 28 de janeiro. A AWS enviou uma resposta em 1º de fevereiro informando que o proprietário do bucket estava ciente da exposição.
Quando o dia 21 de fevereiro chegou e os dados ainda não estavam protegidos, enviamos novamente um email para a Amazon Web Services. A AWS respondeu novamente no mesmo dia, afirmando que buscaria outras maneiras possíveis de lidar com a situação.
Não foi até a manhã de 3 de abril de 2019, após o Facebook ser contatado pela Bloomberg para comentar, que o backup do banco de dados, dentro de um bucket de armazenamento AWS S3 chamado “cc-datalake”, foi finalmente protegido.
No outro lado da moeda, os dados provenientes de “At the Pool” haviam sido colocados off-line durante o tempo em que o UpGuard estava investigando a provável origem dos dados e antes de um e-mail de notificação formal ser enviado.
Não se sabe se isso é uma coincidência, se houve um lapso de período de hospedagem ou se uma parte responsável tomou conhecimento da exposição naquele momento.
Independentemente disso, o aplicativo não está mais ativo e todos os sinais apontam para sua empresa-mãe ter desligado.
Conclusão
Essas duas situações falam do problema inerente da coleta de informações em massa: os dados não desaparecem naturalmente e um local de armazenamento abandonado pode ou não receber a atenção necessária.
Para os desenvolvedores de aplicativos no Facebook, parte do apelo da plataforma é o acesso a uma fatia dos dados gerados por e sobre os usuários do Facebook.
Para a Cultura Colectiva, os dados sobre respostas a cada postagem permitem que eles ajustem um algoritmo para prever qual conteúdo futuro gerará mais tráfego. Os dados expostos em cada um desses conjuntos não existiriam sem o Facebook, mas esses conjuntos de dados não estão mais sob o controle do Facebook.
Em cada caso, a plataforma do Facebook facilitou a coleta de dados sobre os indivíduos e sua transferência para terceiros, que se tornaram responsáveis por sua segurança.
A área de superfície para proteger os dados dos usuários do Facebook é, portanto, vasta e heterogênea, e a responsabilidade de protegê-los está em milhões de desenvolvedores de aplicativos que construíram em sua plataforma.
Fonte: UpGuard Cyber Risk
Facebook quer adicionar criptografia e privacidade às mensagens
Novo plano de segurança do Facebook pode ser ‘tiro no pé’, segundo especialista
Como você era há 10 anos? Brincadeira no Facebook pode trazer riscos a sua privacidade
Nist divulga vencedores do seu Desafio para Desidentificação de Informações Pessoais
