Facebook armazenou “sem querer” senhas de emails de 1,5 milhão de pessoas
O Facebook coletou e “enviou de forma não intencional” aos seus servidores os dados de email, com endereço e senha, de 1,5 milhão de usuários. Todo esse processo vinha ocorrendo desde maio de 2016, quando um sistema de verificação de identidade passou a salvar os dados fornecidos pelos usuários.
Esse processo de pedir para que um usuário inclua a senha de um serviço em outro é altamente criticado por especialistas de segurança e as razões para isso são bem óbvias —imagine que a sua senha do Gmail pode ter ficado guardada nos servidores do Facebook sem você saber.
Quem descobriu que o Facebook realizava tal prática de pedir a senha do email de seus usuários foi um pesquisador de segurança conhecido pelo pseudônimo e-sushi. Ele falou sobre isso no Twitter:
Ei, Facebook, pedir a senha secreta da conta de email pessoal de seus usuários para verificação, ou para qualquer outro fim, é uma ideia HORRÍVEL do ponto de vista de segurança da informação. Indo por esse caminho, você praticamente está pescando senhas que não deveria saber.
Depois disso, a empresa confirmou ao Business Insider que a prática foi suspensa no último mês, mas resultou na coleta e armazenamento de senhas de 1,5 milhão de pessoas — número estimado.
“No último mês, nós paramos de oferecer a verificação de senha de email como uma opção para as pessoas verificarem as suas contas quando se cadastram no Facebook pela primeira vez”, informou o representante. “Ao avaliarmos os passos pelos quais elas passavam para verificar a sua conta, descobrimos que, em alguns casos, os contatos [de login e senha] de email dos usuários foram enviados de forma não intencional ao Facebook no momento de criação das contas.”
“Estimamos que os contatos de email de até 1,5 milhão de pessoas podem ter sido armazenados”, prosseguiu o porta-voz. “Esses contatos não foram compartilhados com ninguém e nós estamos excluindo tudo. Já consertamos esse problema e notificaremos as pessoas cujos contatos foram importados. As pessoas também podem revisar e gerenciar os contatos compartilhados por elas com o Facebook nas configurações.”
Segundo o porta-voz da companhia, o procedimento de verificação passou por uma mudança em maio de 2016, quando os arquivos de texto com as senhas fornecidas por novos usuários começaram a ser armazenado nos servidores da empresa. Isso acontecia apesar de o próprio Facebook garantir aos usuários que a empresa não guardaria tais informações. Contudo, muita coisa não foi deletada e deixou uma porção de gente exposta.
Apesar de o Facebook garantir não ter compartilhado nem acessado as informações dos emails com as de seus usuários, é inegável o altíssimo potencial de dano desse tipo de prática. Imagine, por exemplo, que a senha do Gmail dá acesso a absolutamente todas as informações de sua conta Google, abrindo brecha, inclusive, para contas de outros serviços que podem acessadas ou ter senhas alteradas desta forma.
Será que conseguiremos ficar algum tempo sem qualquer problema de privacidade ou mau gerenciamento de dados dos usuários por parte do Facebook?
