Uma ferramenta do Facebook que permite aos usuários baixar dados de seus perfis (como um tipo de backup) pode ter exposto as informações de contato de 6 milhões de usuários, de acordo com um comunicado da própria rede social, liberado nessa sexta-feira (21), no blog de segurança da empresa.
Os números de telefones celulares e endereços de e-mail armazenados na rede de alguns membros podem ter sido acessados por outros usuários conhecidos, ou que possuem algum tipo de conexão com a pessoa afetada.
O que aconteceu foi o basicamente o seguinte: o Facebook permite a usuários carregar listas de contatos ou listas de endereços em sua rede para que tais dados possam ser combinados com informações de contatos já existentes na plataforma, a fim de sugerir alguns usuários que você possa conhecer, mas que ainda não adicionou em sua rede - o tal "Sugestões de amigos".
Basicamente, a falha "conectou" as informações de colegas ao perfil do usuário. Isso significa que, quando você decidisse baixar os seus próprios dados por meio da ferramenta "Download Your Information" (DYI), pode ser que algumas informações de outros colegas (ou contatos que você tivesse algum tipo de conexão) viessem junto no seu arquivo.
Segundo a empresa, assim que a vulnerabilidade foi analisada e confirmada pela equipe de segurança da empresa, o recurso DYI foi desativado e depois reativado após a correção da falha.
"Concluímos que aproximadamente 6 milhões de usuários no Facebook tiveram seus endereços de e-mail e números de telefone compartilhados. Havia outros endereços ou telefones incluídos nos downloads, mas eles não estavam relacionados a qualquer membro da rede ou mesmo a nomes de indivíduos", diz o comunicado.
A rede social informou ainda que cada dado afetado pela falha foi baixado apenas "uma ou duas vezes". O que na prática significa que as informações afetadas só foram baixadas por um ou dois usuários.
Vale ressaltar que "nenhuma outra informação pessoal ou financeira foi incluída e apenas pessoas no Facebook - desenvolvedores e anunciantes não estão inclusos nisso - tiveram acesso a ferramenta DYI".
A empresa informou que não recebeu qualquer reclamação de que os dados de algum membro possam ter sido usados de forma maliciosa. Os usuários afetados, no entanto, serão notificados por e-mail nos próximos dias.
"Mesmo com uma equipe forte, nenhuma empresa pode garantir 100% de prevenção de bugs e, em casos raros, nós não descobrimos o problema até que ele tenha afetado alguma conta", diz o comunicado.
O bug foi reportado por meio do programa White Hat da empresa, um canal criado para que especialistas externos possam relatar falhas encontradas na rede.
