Ilustração com joinhas normais e invertidos do Facebook.

O que fazer se a sua conta no Facebook for uma das 30 milhões que tiveram dados vazados


17/10/18 às 10h13

Por Gennie Gebhart

Manter-se atualizado com os escândalos de privacidade do Facebook é basicamente um trabalho de tempo integral atualmente. Duas semanas atrás, a rede anunciou uma invasão enorme sem entrar em detalhes. Então, na última sexta-feira (12), o Facebook liberou mais informações, revisando estimativas anteriores sobre o número de usuários afetados e definindo exatamente quais tipos de dados dos usuários foram acessados. Aqui estão os principais detalhes que você precisa saber, bem como recomendações sobre o que fazer se sua conta for afetada.

30 milhões de contas afetadas

O número de usuários cujos tokens de acesso foram roubados é menor do que o estimado originalmente pelo Facebook. Quando o Facebook anunciou este incidente, afirmou que os invasores poderiam ter obtido indevidamente os tokens de acesso — “chaves” digitais que controlam suas informações de login e mantêm você conectado — de 50 a 90 milhões de contas. Desde então, investigações posteriores revisaram esse número para 30 milhões de contas.

Os invasores conseguiram acessar uma quantidade incrivelmente ampla de informações dessas contas. As 30 milhões de contas comprometidas se enquadram em três categorias principais. Para 15 milhões de usuários, os invasores acessaram nomes e números de telefone, e-mails ou ambos (dependendo do que as pessoas listaram).

Para 14 milhões, os invasores acessaram esses dois conjuntos de informações, bem como detalhes de perfil, incluindo:

  • Nome de usuário;
  • Gênero;
  • Local/idioma;
  • Status de relacionamento;
  • Religião;
  • Cidade natal;
  • Cidade atual informada pelo usuário;
  • Data de nascimento;
  • Tipos de dispositivos usados para acessar o Facebook;
  • Formação;
  • Empregos;
  • Os últimos 10 locais onde foi feito check-in ou marcado no site;
  • Pessoas ou páginas seguidas; e
  • As 15 pesquisas mais recentes.

Para o um milhão de usuários restantes cujos tokens de acesso foram roubados, os invasores não acessaram nenhuma informação.

Print da mensagem que os usuários do Facebook afetados pelo vazamento recebem ao logar na rede social.
Mensagem que aparece aos usuários afetados. Imagem: Facebook/Reprodução.

O Facebook está no processo de enviar mensagens para os usuários afetados (a mensagem acima). Enquanto isso, você também pode verificar a Central de Ajuda do Facebook para descobrir se sua conta estava entre os 30 milhões comprometidos — e, em caso afirmativo, qual dos três grupos aproximados se encaixou. As informações sobre sua conta estarão na parte inferior da caixa intitulada “Minha conta do Facebook foi afetada por esse problema de segurança?”

O que você deve fazer se sua conta foi atingida?

O resultado potencial mais preocupante dessa invasão para a maioria das pessoas é o que alguém pode ser capaz de fazer com essa montanha de informações pessoais. Em especial, adversários poderiam usá-las para potencializar seus esforços para invadir outras contas, particularmente usando mensagens de phishing ou explorando fluxos legítimos de recuperação de contas. Com isso em mente, a melhor coisa a fazer é seguir alguns dos princípios básicos de segurança digital: procure por sinais comuns de phishing, mantenha seus softwares atualizados, considere usar um gerenciador de senhas e evite usar perguntas de segurança fáceis de adivinhar, como aquelas relacionadas a dados pessoais.

A diferença entre um e-mail de phishing mal feito e obviamente falso e um e-mail de phishing assustadoramente convincente está nos dados pessoais que ele contém. As informações que os invasores roubaram do Facebook são essencialmente um banco de dados que conecta dados de contato de milhões de pessoas a seus dados pessoais, o que equivale a um baú do tesouro para phishers e golpistas. Detalhes sobre sua cidade natal, educação e lugares onde você esteve recentemente, por exemplo, podem permitir que os golpistas criem e-mails representando sua faculdade, seu empregador ou até mesmo um velho amigo.

Além disso, a combinação de endereços de e-mail e detalhes pessoais pode ajudar alguém a invadir uma das suas contas em outro serviço. Tudo que um possível hacker precisa fazer é se passar por você e fingir estar sem acesso à sua conta — geralmente começando com a opção “Esqueceu sua senha?” que você vê nas páginas de login. Como muitos serviços na web ainda têm métodos inseguros de recuperação de conta, como perguntas de segurança, informações como data de nascimento, cidade natal e métodos de contato alternativos, como números de telefone, podem dar aos hackers mais do que o suficiente para invadir contas mais vulneráveis.

O Facebook afirmou não ter encontrado evidências de que esse tipo de informação seja usado “em ambientes reais” para tentativas de phishing ou invasões via recuperação de contas. O Facebook também garantiu aos usuários que nenhum dado de cartão de crédito ou senha pura foi roubada (o que significa que você não precisa alterá-los), mas para muitos isso não serve de consolo. Números de cartão de crédito e senhas podem ser alterados, mas os insights profundamente confidenciais revelados por suas 15 pesquisas mais recentes ou 10 locais mais recentes não podem ser redefinidos com facilidade.

O que ainda precisamos saber?

Como está cooperando com o FBI, o Facebook não pode divulgar nenhuma descoberta sobre a identidade ou motivações dos hackers. No entanto, a partir da descrição mais detalhada do Facebook sobre como eles realizaram o ataque, fica claro que os invasores estavam determinados e coordenados o suficiente para encontrar uma vulnerabilidade obscura e complexa no código do Facebook. Também está claro que eles tinham os recursos necessários para extrair dados automaticamente em grande escala.

Ainda não sabemos exatamente do que os hackers estavam atrás: eles estavam segmentando determinados indivíduos ou grupos, ou apenas queriam reunir o máximo de informações possível? Também não está claro se os invasores abusaram da plataforma de formas além do que o Facebook relatou ou usaram a vulnerabilidade específica por trás desse ataque para lançar outros ataques mais sutis que o Facebook ainda não detectou.

Há um limite no que os usuários, individualmente, podem fazer para se protegerem contra esse tipo de ataque e suas consequências. Em última análise, é responsabilidade do Facebook e de outras empresas não apenas nos proteger contra esse tipo de ataque, mas, antes disso, também evitar a retenção e deixar vulneráveis tantas informações.


Publicado originalmente no Deeplinks Blog da EFF em 16/10/2018.

Logo da EFF.A Electronic Frontier Foundation é uma organização norte-americana sem fins lucrativos que defende a liberdade e os direitos civis no mundo digital. O Manual do Usuário traduz conteúdo selecionado do blog da fundação — matérias pertinentes sobre temas importantes.

Colabore
Assine o Manual

Privacidade online é possível e este blog prova: aqui, você não é monitorado. A cobertura de tecnologia mais crítica do Brasil precisa do seu apoio.

Assine
a partir de R$ 9/mês