De acordo com o pesquisador de segurança digital belga Inti de Ceukelaire, os links que você compartilha com seus amigos por meio do Messenger ou das mensagens privadas do facebook não são tão seguros quanto você imagina. O pesquisador demonstrou um método por meio do qual qualquer pessoa com as ferramentas de debug do Facebook consegue acessar links compartilhados por esses meios. 

Segundo o pesquisador, sempre que um link é compartilhado no Facebook, a rede social armazena esse link em um local. Da próxima vez que ele precisa mostrar o link, ele simplesmente resgata a informação de sua base de dados. Cada objeto armazenado no Facebook recebe um número e, por meio do Rastreador do Facebook, um programador consegue resgatar os objetos a partir de seu número.

Reprodução

É necessário, no entanto, que o programador tenha permissão para ver aquele conteúdo; caso contrário, ele fica oculto para ele. A exceção para isso, no entanto, são links compartilhados entre usuários. Com o Rastreador, um programador consegue obter o número de objeto designado a um link e, em seguida, acessar o link. Em muitos casos, também é possível saber quem enviou aquele link a quem. 

Por meio desse método, de Ceukelaire conseguiu ter acesso a dados bastante sensíveis. Entre eles, ele enumerou nomes e endereços de usuários, atalhos a fotos ou vídeos armazenados no facebook (que permitiam contornar restrições de privacidade) e documentos externos enviados pela rede social (como links para Google Docs).

Resposta do Facebook

O pesquisador reportou seu achado a empresa, mas recebeu uma resposta diferente do que ele esperava. Segundo a empresa, trata-se de um comportamento esperado doFacebook e do Messenger, com a intenção de permitir aos programadores ver “qual tipo de informação é usado para gerar prévias de links”. A resposta completa da empresa (em inglês), printada por de Ceukelaire, pode ser vista abaixo:

Reprodução

Segundo o pesquisador, a empresa alegou que não pretende fazer qualquer alteração na funcionalidade da ferramenta. Com isso, ele acredita que o compartilhamento de liniks na plataforma não deve ser incentivado, já que eles podem conter informações pessoais que ficam disponíveis para qualquer pessoa registrada como programador do Facebook ver.

De acordo com o The Next Web, no entanto, a equipe de segurança da rede social conseguiria detectar caso um programador estivesse explorando esse recurso de maneira abusiva. Ainda assim, no momento que a rede social se desse conta do problema, já poderia ser tarde demais.