O Facebook se envolveu mais uma vez em escândalos de vazamentos de dados sigilosos de seus usuários. Ontem, 03, um incidente expôs informações de 540 milhões de usuários da rede social que estavam armazenados em servidores da Amazon Web Service, incluindo likes, nomes de contas e comentários.
A brecha foi descoberta pela empresa especializada em Segurança Cibernética, UpGuard. Segundo os pesquisadores da companhia, a falha de proteção está em softwares desenvolvidos pela empresa de mídia mexicana Cultura Colectiva, no caso formam 146 GB expostos.
Outro banco de dados, de um aplicativo chamado At the Pool, listou nomes, senhas e endereços de e-mail de 22 mil pessoas. As senhas são para o app e não para a conta do usuário no Facebook, porém, quando expostas, colocam os usuários em risco, principalmente quando eles reutilizaram a mesma senha nas contas.
O Facebook disse em seu comunicado que trabalhou com a Amazon para derrubar os bancos de dados, uma vez alertados para a questão. “As políticas do Facebook proíbem o armazenamento de informações em um banco de dados público. Temos o compromisso de trabalhar com os desenvolvedores que usam nossa plataforma para proteger os dados das pessoas”, disse a empresa.
Ministério Público em ação
Em outubro de 2018, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) abriu inquérito civil público para investigar o vazamento de dados pessoais de brasileiros no Facebook, violação que afetou 50 milhões de usuários. O promotor de Justiça Frederico Meinberg Ceroy, coordenador da Comissão de Proteção dos Dados Pessoais, está à frente desde então e afirmou para a Security Report que o MPDFT está investigando os casos de vazamento que envolvem dados dos brasileiros. “Não posso falar, as investigações estão sob sigilo”, afirma Ceroy.
O caso é tão sério que está repercutindo também em toda comunidade de Segurança Cibernética no País. Na visão de Victor Murad Filho, coordenador geral de Inovação e Desenvolvimento Tecnológico do Governo do Estado do Espírito Santo, é importante que as empresas brasileiras redobrem as atenções daqui pra frente.
“Até porque, os vazamentos já aconteciam e vão acontecer cada vez mais. Estamos vivendo em um ano de Lei Geral de Proteção de Dados e o nível de responsabilização aumenta para todas as organizações. Seja o próprio Facebook ou qualquer outra empresa, todos devemos ficar atentos a esse novo cenário”, acrescenta Victor Murad Filho.
Para Alex Amorim, CISO e especialista em Segurança Cibernética, o lado bom desses frequentes casos de vazamento é que o assunto está cada vez mais sério e mostra que um incidente como esse pode acontecer com qualquer pessoa ou empresa. “É real e está mais próximo de nós brasileiros. É um cenário que traz mais seriedade para as empresas e também nos ajuda a conscientizar a diretoria das organizações, além de conseguir justificar mais recursos financeiros para a proteção corporativa”, pontua.
Segundo ele, casos como esse geram desconforto nas organizações e na forma de como elas podem atuar com o ecossistema de parceiros, principalmente quando envolve contratações no modelo cloud computing.
“Vemos uma onda gigante de portabilidade do On-Premise para as nuvens. Porém, um ponto importante é o compartilhamento de responsabilidade (shared model responsibility) entre as nuvens (Operadores) e os clientes (Controladores). Normalmente, no primeiro slide do ambiente de cloud é apresentado este modelo de Co-Responsabilização, ou seja, passa a ser um fator crítico de sucesso as realizações de hardening e customizações do lado do cliente para garantir que o ambiente na nuvem tenha um nível de Segurança aceitável”, completa Amorim.
Sob os olhos da Lei, o advogado e especialista em Direito Digital, Renato Opice Blum, afirma que casos como esse do Facebook podem gerar responsabilidade civil, entrando também no Código do Consumidor, além da LGPD. “É um tipo de dano que pode impactar em toda coletividade e dá margem de adoção de vários processos judiciais e ações civis públicas por danos genéricos à coletividade. Assim, a indenização é fixada caso a caso, processo a processo”, conclui.