São Paulo – Um site chamado NameTests, que oferece um app com diversos testes com contas vinculadas com o Facebook, deixou expostos dados de 120 milhões de pessoas que tinham contas da rede social. O caso acontece em um ano em que a empresa já enfrentou um grande vazamento de informações pessoais, vendidas para companhia de marketing político Cambridge Analytica, que atuou na campanha eleitoral de Donald Trump, atual presidente dos Estados Unidos.

A falha foi divulgada pelo pesquisador Inti De Ceukelaire e foi detalhada, em inglês, em um texto na plataforma Medium.

O problema foi encontrado enquanto Ceukelaire trabalhava em um projeto do programa do Facebook que premia pessoas que descobrirem casos de abuso de dados pessoais por parte dos desenvolvedores de aplicativos para a rede social. Essa iniciativa surgiu depois do caso da Cambridge Analytica.

O NameTests exibia informações em JavaScript e elas poderiam ser coletadas por pessoas com conhecimento nessa linguagem de programação. Dados como fotos, publicações, lista de amigos e informações privadas poderiam ser acessadas por pessoas ou empresas sem o devido consentimento de seus donos.

Após o Facebook ter sido informado, em 22 de abril deste ano, o site NameTestes.com mudou a forma como processa seus dados da rede social e resolveu o problema do vazamento. O Facebook chegou a limpar também dados residuais que ainda poderiam permitir o compartilhamento indevido de dados. Isso aconteceu porque o site não oferece uma forma de cancelar o login via Facebook.

A recompensa, de 4 mil dólares, não foi paga ao pesquisador. Ele preferiu que o Facebook dobrasse o valor e o doasse para caridade, o que foi feito.

Ceukelaire disse que é preciso melhorar a segurança dados dados pessoais de usuários do Facebook e serviços web como esses e disse ter sentimentos misturados sobre a forma como essa correção foi feita.

A empresa alemã por trás do site NameTests.com Social Sweethearts informou em comunicado ao TechCrunch que leva a sério a segurança dos usuários e que toma medidas para novos riscos não existam no futuro.

O pesquisador registrou a falha em vídeo, que você pode assistir a seguir.

O Facebook emitiu um comunicado oficial na página do seu programa de recompensas para bugs que permitem explorar dados pessoais na sua rede social:

 

Após contato de EXAME, o Facebook Brasil também emitiu um comunicado sobre o caso, que pode ser lido na íntegra a seguir:

"Um pesquisador chamou nossa atenção para uma questão no site nametests.com por meio do nosso programa Data Abuse Bounty, que lançamos em abril para encorajar denúncias envolvendo dados do Facebook. Trabalhamos com a nametests.com para resolver a vulnerabilidade em seu site, que foi concluída em junho”, declaração de Ime Archibong, vice-presidente de parcerias de produtos do Facebook.