O Facebook se viu envolvido em mais um problema relacionado a segurança e privacidade nesta quarta-feira (4). Foi descoberto um banco de dados enorme e exposto publicamente, composto por mais de 400 milhões de registros de números telefônicos de usuários da rede social vinculados diretamente ao seu Facebook ID, o número identificador ligado a cada perfil na plataforma.

O vazamento não é resultado de nenhum ataque aos servidores do Facebook, no entanto. O banco de dados parece ter sido formado graças à coleta de informações de usuários, mas ainda não se sabe quem foi o responsável por essa coleta ou qual o método utilizado. As informações estavam acessíveis livremente em um banco de dados desprotegido, o que significa que não era sequer necessário saber uma senha para acessar os dados.

Reprodução

A exposição tão simples do número telefônico vinculado diretamente ao perfil de uma vítima, que contém informações pessoais sensíveis como cidade de nascimento e de residência, nomes de amigos e familiares, pode deixá-la vulnerável a uma série de ataques graves. Uma possibilidade é o SIM-Swapping, no qual o cibercriminoso se passa pela vítima para enganar a operadora e obter um novo chip para ter acesso ao seu número telefônico, com o qual, por exemplo, é possível resetar a senha do próprio Facebook e de outras contas. A vítima também pode ser bombardeada por spam; não é muito difícil imaginar o famoso golpe do falso sequestro em um caso desses.

A descoberta foi feita por um especialista em segurança chamado Sanyam Jain, que não conseguiu identificar a quem pertencia o banco de dados. Ele relatou o caso para o site TechCrunch, que contatou a empresa responsável pela hospedagem e que removeu o conteúdo do ar imediatamente.

Quando questionado, o Facebook se defende afirmando que as informações não foram coletadas por meio de um ataque. “O banco de dados é antigo e parece ter informações obtidas antes das mudanças que fizemos no ano passado para remover a possibilidade de pessoas encontrarem outras por meio do número de celular”, diz o porta-voz Jay Nancarrow.

De fato, a maior probabilidade é que os dados tenham pelo menos um ano de idade, mas talvez tenham mais. A empresa já impedia o acesso a números telefônicos por aplicativos vinculados ao Facebook desde 2011. A limitação imposta no ano passado sobre a pesquisa de perfis pelo número telefônico também restringiu consideravelmente o “scraping”, no qual sistemas automatizados fazem essa combinação entre perfis e números, então a tendência é que os dados sejam mais antigos. Os dados foram carregados para o banco exposto no final do mês de agosto, mas isso não quer dizer que as informações sejam novas.