A ESET analisa a venda de dados de 1,5 bilhão de usuários do Facebook coletados por meio de scraping. Eles incluem nome, endereço de e-mail, número de telefone, localização, gênero e ID do usuário.
Em 22 de setembro, um usuário postou à venda em um fórum um banco de dados que supostamente contém informações sobre 1,5 bilhão de usuários do Facebook que foram coletados usando uma técnica conhecida como scraping. A venda se tornou pública no dia 4 de outubro, dia em que ocorreu uma interrupção global por várias horas dos serviços do Facebook, WhatsApp e Instagram, mas não tem relação com os dados publicados.
Em um comunicado o Facebook afirmou que a interrupção do serviço foi devido a um erro de configuração no backbone que coordena o tráfego de rede entre seus centros de dados. A empresa também confirmou que não havia evidências de que os dados do usuário foram comprometidos durante a interrupção.
Conforme explica o site Privacy Affairs, quem publicou os dados garante que as informações são novas e que foram recolhidas através de scraping, o que significa que não foi produto do comprometimento das contas desses utilizadores.
“Web scraping é uma técnica para extrair informações de sites em massa e por meio de scripts automatizados. Essa técnica é utilizada para indexação de sites ou análise de dados de diferentes páginas e se tornou muito popular em algumas ações de marketing digital, como melhorar o posicionamento na web ou obter métricas. Isso torna muitas das ferramentas de scraping disponíveis na Internet e muito fáceis de usar”, explica Cecilia Pastorino, pesquisadora da ESET América Latina.
Há alguns meses, a ESET analisou como os golpistas usaram ferramentas de scraping de seguidores do Instagram como parte de uma farsa que tentava roubar dinheiro de clientes de diferentes bancos.
O vendedor desta nova base de dados de utilizadores do Facebook, que oferece a possibilidade de baixar a informação na íntegra ou em pequenas partes, garante que trabalha para uma empresa que se dedica ao scraping e que desenvolve esta atividade há pelo menos quatro anos e tem mais de 18.000 clientes.
Após a publicação, alguns supostos clientes questionaram a legitimidade dos dados e alegaram que após fazer a compra as informações não chegaram, mas conforme explicado pelo Privacy Affairs, o vendedor negou as acusações e disse que tinha evidências para mostrar que os dados são verdadeiros.
Em abril deste ano, algo semelhante aconteceu quando se soube que dados de mais de 500 milhões de usuários do Facebook foram colocados à venda em fóruns. Dias depois, outro banco de dados foi publicado para venda, mas desta vez com informações de usuários do LinkedIn que também foram coletadas por meio de scraping.
“Os dados mencionados acima podem ser usados de várias maneiras. No caso de agentes mal-intencionados, as informações podem ser úteis para lançar ataques de engenharia social usando o nome e endereço de e-mail da pessoa para, por exemplo, enviar e-mails de phishing com o objetivo de roubar credenciais de acesso, dados financeiros ou mesmo convencer potenciais vítimas a baixar malware”, conclui Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Os dados do número de telefone também podem ser usados para ataques de SIM Swapping ou envio de SMS fraudulentos.
