Facebook tem nova brecha de segurança e pode expor e-mails de usuários

Em nota, empresa disse ter fechado o relatório de bug bounty antes de encaminhá-lo ao time apropriado, além disso agradeceu ao pesquisador por ter informado sobre a vulnerabilidade e justificou que todas as medidas iniciais para mitigar o problema e entender melhor as descobertas foram tomadas

O Facebook continua sendo o centro das atenções quando o assunto é privacidade de seus usuários. No início desse mês, noticiamos na Security Report que uma brecha de segurança havia afetado 533 milhões de usuários e que uma base de dados antiga estava disponível gratuitamente em fóruns de hackers, porém em nota enviada para a nossa redação, a empresa se pronunciou e disse que as informações em questão são antigas, fruto de uma vulnerabilidade que foi encontrada e corrigida em agosto de 2019.

Agora, segundo um pesquisador de segurança, não identificado, relevou ao site Ars Technica a falha da gigante americana envolve um software capaz de ligar listas de e-mails vazados a perfis na rede social, mesmo que contas ou informações dos usuários estejam configuradas de forma privada.

Em um vídeo, o pesquisador demonstra o funcionamento da falha e, nas imagens, ele utiliza uma ferramenta chamada “Facebook Email Search v1.0” e ressalta que poderia veicular contas do Facebook a até 5 milhões de endereços de e-mail por dia.

*Ferramenta em funcionamento: software cruza endereços eletrônicos com contas no Facebook, mesmo as privadas. (Imagem: Ars Technica/Reprodução)*

No teste demonstrado em vídeo (sob a condição de que o Ars Technica não o publicasse), o pesquisador alimenta a ferramenta com uma lista de 65 mil e-mails. “Como você pode ver pelos logs de progresso, estou recebendo uma quantidade significativa de resultados. Eu gastei, talvez, uns 10 dólares para comprar cerca de 200 contas inativas do Facebook. E em três minutos, eu já consegui fazer com 6 mil contas”, comenta ao site Ars Technica.

O investigador disse ter procurado o Facebook para alertar sobre a brecha de segurança, porém a gigante das mídias sociais não teria achado essa vulnerabilidade encontrada por ele “importante” o suficiente para ser corrigida.

A redação da Security Report procurou o Facebook para comentar o caso e disponibilizamos o posicionamento na íntegra:

“Aparentemente fechamos erroneamente este relatório de bug bounty antes de encaminhá-lo ao time apropriado. Agradecemos ao pesquisador por compartilhar a informação e já tomamos as medidas iniciais para mitigar esse problema e entender melhor as descobertas”.