Tecnologia

De olho nas falhas do Face

Hacker belga procura problemas de segurança nas redes sociais que usamos todos os dias

Márcio Padrão Do UOL, em São Paulo
Kacper Pempel/Reuters

Pouco mais de três meses após a notícia de que a consultoria britânica Cambridge Analytica abusou de dados pessoais de 87 milhões de usuários do Facebook, foi descoberta uma falha de segurança bastante séria que teria como potenciais vítimas um número ainda maior: 120 milhões de usuários.

Apesar do número assustador, a ameaça não foi tão séria graças a um discreto herói: o pesquisador de segurança belga Inti De Ceukelaire, que investigou por conta própria alguns apps de terceiros no Facebook e se deparou com a grave falha no quiz Nametests, que expunha dados pessoais de qualquer usuário a partir de uma brecha de javascript do aplicativo.

De Ceukelaire poderia ter aterrorizado muita gente com sua descoberta, mas para nossa sorte, ele é um "hacker ético", que usa seus conhecimentos para o bem. Seu hobby é encontrar falhas como essas e denunciá-las aos responsáveis.

Ele também consegue algum dinheiro com isso, pois participa de programas de recompensas das próprias empresas para quem acha e denuncia bugs --Facebook e Apple fazem isso, por exemplo. Em entrevista exclusiva ao UOL Tecnologia, ele explica sua visão sobre o contexto crítico de segurança em que o Facebook e nós, usuários, enfrentamos atualmente.

Divulgação/Facebook Inti De Ceukelaire Divulgação/Facebook Inti De Ceukelaire

UOL: Você poderia nos contar um pouco sobre sua história e seu trabalho como pesquisador de segurança digital?

Inti De Ceukelaire: Eu trabalho como hacker ético e caçador de recompensas, mas também sou um defensor da privacidade. Eu escrevi alguns artigos sobre o Facebook anteriormente que levaram a mudanças em sua plataforma. Eu também tenho um site chamado stalkscan.com que expõe os perigos da pesquisa gráfica [mecanismo de busca semântico dentro do Facebook].

UOL: Como você descobriu o vazamento no Nametests.com? O que o motivou a participar do programa de recompensa por abuso de dados do Facebook?

Inti De Ceukelaire: Como um usuário do Facebook, estou preocupado com a minha privacidade e dos meus amigos. Fiquei chocado com o escândalo do Cambridge Analytica e queria conhecer os fatos sem toda a tagarelice de relações públicas. É por isso que decidi ver por mim mesmo como nossos dados estão protegidos.

A descoberta: hacker conta como encontrou a falha

  • Anotou todos os apps dos amigos

    Percorri minha linha do tempo e anotei todos os apps que meus amigos usavam. Rastreadores de fitness e quizzes do Facebook ficaram no topo da minha lista, pois foram duramente criticados por sua enorme coleta de dados e por suas permissões gananciosas, então, pela primeira vez na minha vida, fiz um teste no Facebook.

  • Percebeu algo estranho

    De acordo com [o quiz] nametests.com, se eu fosse uma princesa da Disney, eu seria Jasmine. Após uma investigação mais detalhada, notei algo estranho.

  • Encontrou dados em uma página

    Ao carregar um teste, o site buscaria minhas informações pessoais e as exibiria em uma página. Aqui foi onde peguei minhas informações pessoais: http://nametests.com/appconfig_user.

  • Ficou chocado

    Fiquei chocado ao ver que esses dados estavam disponíveis publicamente para qualquer terceiro que os solicitasse. Em uma situação normal, outros sites não poderão acessar essas informações. Os navegadores possuem mecanismos para evitar que isso aconteça. Neste caso, no entanto, os dados foram agrupados em algo chamado javascript, que é uma exceção a essa regra.

Saul Loeb/AFP Saul Loeb/AFP

UOL: Como você avalia o que o Facebook está fazendo para remediar a crise de abuso de dados após o Cambridge Analytica? As medidas já anunciadas são suficientes em sua opinião?

Inti De Ceukelaire: Eles estão dando passos na direção certa, mas ainda há um longo caminho a percorrer. Eu acho que sempre que uma vulnerabilidade é descoberta que poderia ter exposto os dados do usuário, cada usuário desse aplicativo deve ser notificado pelo Facebook. Eles só fariam isso quando realmente houvesse um abuso de dados, mas às vezes é difícil comprovar.

O Facebook também precisa bloquear temporariamente os aplicativos que possuem vulnerabilidades até que sejam corrigidos, independentemente do número de usuários ou do dinheiro que possuem. Então provavelmente não demoraria tanto, eu acho.

Reprodução Reprodução

A culpa da exposição é nossa

Em fevereiro de 2017, Inti De Ceukelaire já havia dado sua contribuição para conscientizar as pessoas sobre os tentáculos do Facebook em nossas vidas. Foi nesse mês que ele lançou o Stalkscan, um site que ajuda a checar quais são seus dados públicos disponíveis na rede social.

Seu funcionamento é bem simples: basta entrar no campo de busca com o link do perfil que você quer checar --no caso, é sempre "facebook.com/NOMEDOPERFIL". A busca vai devolver resultados abertos de maneira categorizada: dados pessoais, detalhes do perfil (fotos, vídeos, grupos), conteúdo em que você foi marcado, comentários, curtidas, lugares que visitou, seu círculo de amigos e interesses.

A ideia do site é mostrar que a culpa da exposição é só nossa, caso não tenhamos fechado a privacidade do conteúdo. Você, claro, pode sempre revisar suas configurações de privacidade. Saiba como

Getty Images Getty Images

O Facebook precisa proteger "hackers do bem"

UOL: Quais soluções você vê a curto e médio prazo sobre o abuso de dados dos usuários?

Inti De Ceukelaire: Eu também acho que, a longo prazo, o Facebook deve exigir que cada aplicativo tenha uma política de divulgação responsável que permita que hackers éticos identifiquem vulnerabilidades e as relatem. Eu adoraria procurar por mais bugs nos aplicativos do Facebook, mas eu estaria recebendo ações judiciais o tempo todo. O Facebook precisa proteger os hackers éticos que tentam descobrir bugs em aplicativos de terceiros do Facebook, porque parece que eles não podem fazer isso por conta própria por enquanto. Fiz um grande esforço para divulgar minha pesquisa porque a maioria das pessoas que realmente faz esses testes não lê blogs de segurança. Eu queria alcançá-las.

Exclua os aplicativos que você não está usando. Também use apenas aplicativos funcionais e pare de usar esses testes e testes de personalidade. A maioria deles provavelmente está coletando seus dados de qualquer maneira.

Inti De Ceukelaire

Inti De Ceukelaire

Pixabay Pixabay

Cronologia da falha

  • 120 milhões de usuários podem ter sido afetados...

    ... mas somente os usuários que realmente visitaram o site do invasor --o nametests.com/appconfig_user-- teriam seus dados vazados para um possível criminoso virtual. Fato é que por três anos eles ficaram expostos à falha.

  • Em abril, o hacker relatou a falha ao Facebook

    A resposta inicial da rede social foi de que eles estavam procurando pela. No mês seguinte, o Facebook disse que poderia levar de três a seis meses para investigar o problema.

  • Apenas em junho ela foi corrigida

    De Ceukelaire notou que o NameTests alterou a maneira como processam os dados, impedindo finalmente que terceiros não pudessem mais acessar informações pessoais de usuários. No mesmo mês, o Facebook informou que premiou o hacker ético com US$ 8.000. Na verdade ele ficou com US$ 4.000,00; a quantia foi duplicada para que o Facebook, a pedido do belga, doasse a outra metade para a Freedom of the Press Foundation, entidade a favor da liberdade de imprensa.

  • Houve algum abuso de dados?

    A equipe de relações públicas do NameTests disse ao pesquisador que, de acordo com os dados e os conhecimentos que possuem, não encontraram provas de abuso por parte de terceiros. Eles também afirmam que implementaram testes adicionais para encontrar esses bugs e evitá-los no futuro.

  • A posição do Facebook

    "Um pesquisador chamou nossa atenção para uma questão no site nametests.com por meio do nosso programa de recompensa de abuso de dados, que lançamos em abril para encorajar denúncias envolvendo dados do Facebook. Trabalhamos com a nametests.com para resolver a vulnerabilidade em seu site, que foi concluída em junho?, disse Ime Archibong, vice-presidente de Parcerias de Produtos do Facebook.

As chances de novas brechas são bem altas

UOL: Você tem um grande histórico descobrindo violações em outros programas de recompensas [veja o perfil dele na plataforma Hackerone], com mais de 200 bugs encontrados em empresas como Airbnb, Yahoo, Snapchat e Vimeo. Você conseguiu muito dinheiro com isso?

Inti De Ceukelaire: Sim, eu tenho feito recompensas por muito tempo. Às vezes, com permissão da empresa, publico postagens de blog sobre minhas descobertas. Aqueles que não estão realmente culpando as empresas: todos têm problemas de segurança, mas é muito importante que os reconheçamos e aprendamos a partir de então.
 
UOL: Qual foi sua principal descoberta?

Inti De Ceukelaire: Provavelmente essa história (do Facebook). Foi um erro dentre muitas empresas das quais eu pude ter acesso a suas comunicações internas.

UOL: Na sua opinião, quais redes sociais e mensageiros são os mais seguros e os menos seguros?

Inti De Ceukelaire: Eu prefiro o aplicativo chamado Signal e eu uso muito o Twitter. Mas vamos ser honestos: não há outras redes sociais dignas por causa do perigoso monopólio do Facebook.

UOL: Você ainda está procurando por aplicativos mais prejudiciais no Facebook? Quais são as chances de descobrir mais do que isso?

Inti De Ceukelaire: Não, os riscos legais são altos demais. Acho que as chances são bem altas: levei apenas dez minutos para encontrar esse e foi o primeiro e único aplicativo que testei.

Outras falhas graves recentes

  • Yahoo!

    Talvez o caso mais recente páreo para o problema no Facebook tenha sido o vazamento que afetou todos os mais de 3 bilhões de usuários da plataforma de email do Yahoo. Na ocasião, hackers russos roubaram dados, incluindo números de telefone, senhas, datas de nascimento e endereços de email. Números de cartão de crédito, dados bancários e senhas em texto não foram obtidos.

    Imagem: Reprodução

  • LinkedIn

    A plataforma de relacionamento profissional foi processada em US$ 5 milhões por vazamento de dados. A rede social violou promessas a consumidores ao não ter uma melhor política de segurança quando mais de 6 milhões de senhas de clientes foram roubadas.

    Imagem: David Loh/Reuters

  • Processadores

    Duas falhas graves de segurança chamadas "Meltdown" e a "Spectre" foram encontradas no começo de 2018 em processadores de PCs de mesa, laptops, celulares, tablets e servidores. Chips da Intel, AMD e com a arquitetura ARM foram afetados. As falhas foram na construção dos chips e permite que programas mal-intencionados acessem segredos de outros programas e do sistema operacional do seu computador.

    Imagem: Arte UOL/logos Natascha Eibl/Graz University of Technology

  • Google

    Uma falha de segurança foi encontrada no acessório para TV do Google, o Chromecast, e no alto-falante inteligente Google Home, que revela a localização do usuário a partir do wi-fi da residência. O bug explora uma lacuna nos sistemas do Google que cruzam uma lista de redes wi-fi próximas com a de serviços de GPS. Assim, conseguem descobrir o local da casa do usuário com grande precisão. A correção para a falha deve ser liberada pelo Google em breve.

    Imagem: Divulgação

Curtiu? Compartilhe.

Topo