DESDE SÁBADO, Um enorme tesouro de dados do Facebook circulou publicamente , espalhando informações de cerca de 533 milhões de usuários do Facebook na Internet.

Os dados incluem coisas como nomes de perfil, números de ID do Facebook, endereços de e-mail e números de telefone. É todo o tipo de informação que pode já ter sido vazada ou extraída de alguma outra fonte, mas é mais um recurso que vincula todos esses dados – e os vincula a cada vítima – apresentando perfis organizados para golpistas, phishers e spammers em um bandeja de prata.

A resposta inicial do Facebook foi simplesmente que os dados foram relatados anteriormente em 2019 e que a empresa corrigiu a vulnerabilidade subjacente em agosto daquele ano. Noticias antigas. Mas um olhar mais atento de onde, exatamente, esses dados vêm produz um quadro muito mais sombrio. Na verdade, os dados, que apareceram pela primeira vez na dark web criminosa em 2019, vieram de uma violação que o Facebook não divulgou em nenhum detalhe significativo na época e só reconheceu totalmente na terça à noite em uma postagem de blog atribuída ao diretor de gerenciamento de produto Mike Clark .

Uma fonte de confusão foi que o Facebook teve inúmeras violações e exposições das quais esses dados poderiam ter se originado. Foram os 540 milhões de registros – incluindo IDs do Facebook, comentários, curtidas e dados de reação – expostos por terceiros e divulgados pela empresa de segurança UpGuard em abril de 2019? Ou foram os 419 milhões de registros de usuários do Facebook, incluindo centenas de milhões de números de telefone, nomes e IDs do Facebook, retirados da rede social por malfeitores antes de uma mudança na política do Facebook de 2018, que foram expostos publicamente e relatados pelo TechCrunch em setembro de 2019 ?

Isso teve algo a ver com o escândalo de compartilhamento de dados de terceiros da Cambridge Analytica em 2018? Ou isso estava de alguma forma relacionado à enorme violação de dados do Facebook em 2018 que tokens de acesso comprometidos e virtualmente todos os dados pessoais de cerca de 30 milhões de usuários?

Na verdade, a resposta parece não ser nenhuma das anteriores. Como o Facebook acabou explicando em comentários de fundo para o WIRED e em seu blog de terça-feira, o tesouro público recentemente de 533 milhões de registros é um conjunto de dados totalmente diferente que os invasores criaram abusando de uma falha em um recurso de importação de contatos do catálogo de endereços do Facebook. O Facebook diz que corrigiu a vulnerabilidade em agosto de 2019, mas não está claro quantas vezes o bug foi explorado antes disso.

As informações de mais de 500 milhões de usuários do Facebook em mais de 106 países contêm IDs do Facebook, números de telefone e outras informações sobre os primeiros usuários do Facebook, como Mark Zuckerburg e o secretário de Transportes dos EUA, Pete Buttigieg, bem como o comissário da União Europeia para proteção de dados, Didier Reynders. Outras vítimas incluem 61 pessoas que listam a “Comissão Federal de Comércio”

Você pode verificar se o seu número de telefone ou endereço de e-mail foi exposto no vazamento, verificando o site de rastreamento de violação HaveIBeenPwned . Para o serviço, o fundador Troy Hunt reconciliou e ingeriu duas versões diferentes do conjunto de dados que estavam circulando.

“Quando há um vácuo de informações da organização que está envolvida, todos especulam e há confusão”, diz Hunt.

O mais próximo que o Facebook chegou de reconhecer a origem dessa violação foi um comentário em um artigo de notícias do outono de 2019. Em setembro daquele ano, a Forbes relatou uma vulnerabilidade relacionada no mecanismo do Instagram para importar contatos. O bug do Instagram expôs os nomes dos usuários, números de telefone, identificadores do Instagram e números de ID de conta. Na época, o Facebook disse ao pesquisador que revelou a falha que a equipe de segurança do Facebook “já estava ciente do problema devido a uma descoberta interna”.

Um porta-voz disse à Forbes na época: “Mudamos o importador de contato no Instagram para ajudar a prevenir abusos em potencial. Agradecemos ao pesquisador que levantou esta questão. ” Forbesobservou na história de setembro de 2019 que não havia evidências de que a vulnerabilidade tinha sido explorada, mas também nenhuma evidência de que não tivesse sido.

Em sua postagem de hoje, o Facebook tem um link para um artigo de setembro de 2019 da CNET como evidência de que a empresa reconheceu publicamente a exposição de dados de 2019. Mas a história da CNET se refere às descobertas de um pesquisador que também entrou em contato com a WIRED em maio de 2019 sobre um tesouro de dados do Facebook, incluindo nomes e números de telefone. O vazamento que o pesquisador descobriu era o mesmo relatado pelo TechCrunch em setembro de 2019.

E de acordo com a história da CNET de setembro de 2019, é o mesmo que a CNET estava descrevendo. O Facebook disse ao TechCrunch na época: “Este conjunto de dados é antigo e parece ter informações obtidas antes de fazermos alterações no ano passado [2018] para remover a capacidade das pessoas de encontrar outras usando seus números de telefone.” Essas mudanças visavam reduzir o risco de que as ferramentas de busca e recuperação de conta do Facebook pudessem ser exploradas para fins de eliminação em massa.

Os conjuntos de dados que circulam em fóruns criminais costumam ser combinados, adaptados, recombinados e vendidos em diferentes partes, o que pode ser responsável por variações em seu tamanho e escopo exatos. Mas com base no comentário do Facebook em 2019 de que os dados relatados pelo TechCrunch eram de meados de 2018 ou antes, parece não ser o conjunto de dados em circulação atualmente. Os dois troves também têm atributos e números diferentes de usuários impactados em cada região. O Facebook se recusou a comentar a história da CNET de setembro de 2019.

Se tudo isso parece exaustivo de analisar, é porque o Facebook passou dias sem dar uma resposta substantiva e deixou em aberto um certo grau de confusão.

“Em que ponto o Facebook disse: ‘Tivemos um bug em nosso sistema e adicionamos uma correção e, portanto, os usuários podem ser afetados’?”, Disse o ex-chefe de tecnologia da Federal Trade Commission, Ashkan Soltani. O Facebook diz isso. E eles estão meio presos agora, porque aparentemente não fizeram nenhuma divulgação ou notificação. “

Antes de seu blog reconhecer a violação, o Facebook apontou a história da Forbes como evidência de que reconheceu publicamente a violação do importador de contato do Facebook em 2019. Mas a história da Forbes é sobre uma descoberta semelhante, mas aparentemente não relacionada, no Instagram versus o Facebook principal, de onde vem o vazamento de 533 milhões de usuários. E o Facebook admite que não notificou os usuários de que seus dados foram comprometidos individualmente ou por meio de um boletim oficial de segurança da empresa.

A Comissão Irlandesa de Proteção de Dados disse em um comunicado na terça-feira que “não recebeu comunicação proativa do Facebook” sobre a violação.

“Conjuntos de dados anteriores foram publicados em 2019 e 2018 relacionados a uma remoção em grande escala do site do Facebook, que na época em que o Facebook informou ocorreu entre junho de 2017 e abril de 2018, quando o Facebook fechou uma vulnerabilidade em sua funcionalidade de pesquisa de telefone,” de acordo com o cronograma elaborado pela comissão. “Como a coleta ocorreu antes do GDPR, o Facebook optou por não notificar isso como uma violação de dados pessoais no GDPR. O conjunto de dados recém-publicado parece incluir o conjunto de dados original de 2018 (pré GDPR) e combinado com registros adicionais, que podem ser de um período posterior. ”

O Facebook afirma que não notificou os usuários sobre a exploração do importador de contatos de 2019, precisamente porque há muitos dados semipúblicos de usuários – retirados do próprio Facebook e de outras empresas – no mundo. Além disso, os invasores precisavam fornecer números de telefone e manipular o recurso para cuspir o nome correspondente e outros dados associados a ele para que a exploração funcionasse, o que o Facebook argumenta que significa que ele não expôs os números de telefone em si.

“É importante entender que os agentes mal-intencionados obtiveram esses dados não por meio de hackers em nossos sistemas, mas ao extraí-los de nossa plataforma antes de setembro de 2019”, escreveu Clark na terça-feira. O objetivo da empresa é traçar uma distinção entre explorar uma fraqueza em um recurso legítimo para extração em massa e encontrar uma falha em seus sistemas para obter dados de seu back-end.

Mas para os afetados, esta é uma distinção sem diferença. Os invasores podem simplesmente percorrer todos os números de telefone internacionais possíveis e coletar dados sobre os acessos. O bug do Facebook forneceu aos malfeitores a falta de conexão entre números de telefone e informações públicas, como nomes.

Os números de telefone costumavam ser públicos em listas telefônicas e muitas vezes ainda são, mas como eles evoluíram para se tornarem identificadores onipresentes , ligando você a diferentes partes de sua vida digital, eles assumiram um novo significado e valor potencial para os invasores.

Eles até desempenham um papel na autenticação confidencial, sendo o caminho pelo qual você pode receber códigos de autenticação de dois fatores por SMS ou uma chamada telefônica na qual você fornece informações para confirmar sua identidade. A ideia de que os números de telefone estão agora crítica à sua segurança digital é não em tudo novo .

“É uma falácia pensar que uma violação não é séria apenas porque não contém senhas ou outros dados sensíveis ao máximo”, disse Zack Allen, diretor de inteligência de ameaças da empresa de segurança ZeroFox. “Também é uma falácia dizer que uma situação não é tão ruim apenas porque são dados antigos. E, além disso, os números de telefone me assustam como uma forma de autenticação, que infelizmente é como são usados ​​hoje em dia. ”

Por sua vez, o Facebook repetidamente lidou mal com os números de telefone dos usuários. Eles costumavam ser facilmente coletáveis em grande escala por meio da ferramenta Graph Search API da empresa. Na época, a empresa não via isso como uma vulnerabilidade de segurança, porque o Graph Search mostrava apenas números de telefone e outros dados que os usuários definiam como públicos em seus perfis.

Com o passar dos anos, porém, o Facebook começou a reconhecer que era um problema tornar esses dados tão fáceis de extrair, mesmo se os usuários individuais optassem por tornar seus dados públicos. No total, as informações ainda podem permitir fraudes e phishing em uma escala que os indivíduos presumivelmente não pretendiam.

Em 2018, o Facebook reconheceu que direcionava anúncios com base no número de telefone de autenticação de dois fatores dos usuários. Naquele mesmo ano, a empresa também desativou um recurso que permitia aos usuários procurar outras pessoas no Facebook usando seu número de telefone ou endereço de e-mail – um mecanismo que estava novamente sendo abusado pelos scrapers. De acordo com o Facebook, esta é a ferramenta que os cibercriminosos usaram para coletar os dados relatados pelo TechCrunch em 2019.

Ainda assim, de alguma forma, apesar desses e outros gestos para bloquear os números de telefone dos usuários, o Facebook ainda não divulgou totalmente a violação de dados de 2019. O recurso de importação de contatos está um pouco prejudicado e a empresa também corrigiu vulnerabilidades nele em 2013 e 2017 .

Enquanto isso, o Facebook chegou a um acordo histórico com a FTC em julho de 2019 sobre o que só pode ser descrito como um grande número de falhas de privacidade de dados profundamente preocupantes. Em troca de pagar uma multa de US $ 5 bilhões e concordar com certos termos, como descontinuar seus usos alternativos mencionados acima de números de telefone relacionados à autenticação de segurança, o Facebook foi indenizado por todas as atividades antes de 12 de junho de 2019.

Se alguma das explorações de importação de contato ocorreu após essa data – e, portanto, deveria ter sido relatada à FTC – permanece uma questão em aberto. A única coisa certa em tudo isso é que mais de 500 milhões de usuários do Facebook estão menos seguros online do que seriam de outra forma – e potencialmente vulneráveis ​​a uma nova onda de golpes e phishing sobre os quais o Facebook poderia tê-los alertado há quase dois anos.