Entenda como hackers obtiveram telefones de usuários do Facebook e descubra se seus dados vazaram

Entenda como hackers obtiveram telefones de usuários do Facebook e descubra se seus dados vazaram
Coleta de dados foi realizada em 2019 e obteve 8 milhƵes de números de telefone brasileiros. Em abril de 2019, o CEO do Facebook Mark Zuckerberg prometia um futuro com mais privacidade. Meses depois, hackers construiriam pacote com dados de 530 milhƵes de usuĆ”rios da rede social.

Stephen Lam/Reuters

Um arquivo contendo informaƧƵes sobre mais de 500 milhƵes de usuĆ”rios do Facebook foi recentemente publicado de graƧa em um fórum de hackers. Os dados, porém, sĆ£o de 2019.

Muitos pacotes de dados como este passam por um ciclo comum: depois de ser obtida, a informaĆ§Ć£o é comercializada de maneira particular por preƧos cada vez menores – até ser disponibilizada de graƧa.

Isso acontece por dois motivos. Primeiro, porque cada comprador passa a ser um novo vendedor, tendo em vista que dados podem ser copiados sem custo. Segundo, porque a informaĆ§Ć£o vai ficando desatualizada e perde valor ao longo do tempo.

Com muita gente querendo vender e poucos interessados em comprar informaĆ§Ć£o velha, o preƧo do arquivo acaba chegando a zero. Disponibilizar o arquivo de graƧa, porém, ajuda os hackers a melhorarem sua reputaĆ§Ć£o no mundo do crime.

É por isso que pacotes de dados "ressurgem" como algo aparentemente novo muito depois.

Mesmo nĆ£o sendo uma novidade, o pacote agora estĆ” nas mĆ£os de muitas pessoas, e vale a pena saber entender do que se trata.

Quais dados estĆ£o no vazamento?

A informaĆ§Ć£o predominante é o número de telefone, presente em todos os 530 milhƵes de registros.

Outras informaƧƵes estĆ£o presentes em volume menor. De acordo com o especialista em seguranƧa digital Troy Hunt, apenas 2,5 milhƵes de registros têm o endereƧo de e-mail, por exemplo.

Alguns perfis também incluem dados de relacionamento e emprego. No geral, as informaƧƵes devem corresponder ao que estava disponível publicamente nos perfis na data da coleta, em setembro de 2019.

Cerca de 8 milhƵes de registros foram atribuídos ao Brasil, mas isso nĆ£o significa que todos esses perfis tinham dados de localizaĆ§Ć£o.

Como os números de telefone foram registrados com o código de país (no caso do Brasil, é o +55), a atribuiĆ§Ć£o da nacionalidade do perfil independe da cidade.

O meio utilizado para obter as informaƧƵes nĆ£o dava acesso a senhas, o que significa que nĆ£o hĆ” senhas no pacote.

Como os dados foram obtidos em 2019?

Os hackers utilizaram a "raspagem de dados". É uma técnica de pouca sofisticaĆ§Ć£o, em que o "raspador" baixa muitas informaƧƵes de consultas ou pĆ”ginas separadas para associĆ”-las.

Veja um exemplo: o Facebook nĆ£o disponibiliza uma pĆ”gina pública que mostre todas as publicaƧƵes que você jĆ” curtiu ou comentou. Mas, se alguém obtiver todas as bilhƵes de publicaƧƵes da rede social, essa pessoa poderĆ” filtrar as curtidas e descobrir o que você jĆ” curtiu.

SAIBA MAIS: Facebook atribui vazamento de dados de 530 milhƵes de usuƔrios a 'raspagem'

A diferenƧa é que o alvo nesse caso nĆ£o foram as curtidas, mas sim o número de telefone. Os hackers utilizaram o "importador de contatos", uma funĆ§Ć£o do aplicativo do Facebook que encontra amigos a partir dos números na agenda do telefone.

Para se aproveitar disso, o raspador "fingiu" que o telefone dele tinha uma agenda com milhares de contatos aleatórios e anotou quais números o Facebook associava a algum perfil. É como se ele tivesse encontrado milhares de "amigos" no Facebook.

O hacker entĆ£o consultava o perfil identificado para pegar informaƧƵes disponíveis publicamente, como o nome e a cidade, criando um banco de dados que associa os números de telefone às informaƧƵes públicas dos perfis.

Dessa forma, o hacker obteve um dado normalmente oculto do perfil (o número de telefone) desviando a finalidade de um recurso do aplicativo (a busca de amigos pelo número de telefone).

Esse processo, embora pareƧa trabalhoso, pode ser realizado com um software. Tudo é automĆ”tico.

As etapas sĆ£o repetidas com poucos contatos por vez, mas sempre com números diferentes, até que seja obtido o mĆ”ximo de correspondências possíveis. Nesse caso, foram 530 milhƵes.

Entenda como acontece um vazamento de dados:

VÍDEO: Como acontece um vazamento de dados?

Como o Facebook bloqueou essa aĆ§Ć£o?

O Facebook realizou modificaƧƵes na funĆ§Ć£o que importa contatos para coibir a raspagem.

A possibilidade de raspagem de dados, porém, nunca deixa de existir – principalmente em redes sociais públicas. Qualquer serviƧo disponível para muitos usuĆ”rios e que permita acessos frequentes pode ser alvo de raspagem.

E, de fato, esse nĆ£o foi o único banco de dados do Facebook construído com raspagem. Também em 2019, pesquisadores encontraram um pacote com 1,2 bilhĆ£o de registros, dos quais 50 milhƵes tinham números de telefone e 622 milhƵes tinham endereƧos de e-mail.

Nas opƧƵes de privacidade do Facebook, é possível bloquear a busca pelo número de telefone ou até filtrĆ”-la para "apenas amigos".

ConfiguraƧƵes de privacidade do Facebook podem impedir que outras pessoas encontrem seu perfil pelo e-mail e pelo telefone.

ReproduĆ§Ć£o

O ideal é que a opĆ§Ć£o seja configurada para "somente eu", o que na prĆ”tica bloqueia a busca do seu número de telefone.

Existe também uma opĆ§Ć£o para o e-mail. O ideal é que ambos sejam bloqueados.

Como descubro se meu perfil estĆ” no vazamento?

O site Have I Been Pwned?, uma das fontes mais confiĆ”veis para responder a essa pergunta, foi atualizado para permitir a busca por número de telefone. O serviƧo estĆ” disponível apenas em inglês.

O número de telefone deve ser digitado com o código de país (55, no caso do Brasil) e o DDD (um usuĆ”rio de SĆ£o Paulo deve colocar 5511, por exemplo). Sem o código de país o DDD, a busca pode retornar um resultado incorreto.

InformaĆ§Ć£o no site 'Have I Been Pwned?'

ReproduĆ§Ć£o

Você ainda terĆ” de pesquisar as duas informaƧƵes (telefone e endereƧo de e-mail), jĆ” que o site nĆ£o exibe nenhuma informaĆ§Ć£o vazada. Ele apenas diz se o registro consta ou nĆ£o no vazamento.

Veja como saber se seus dados estĆ£o em vazamentos:

VÍDEO: Como saber se meus dados vazaram?

Estou no vazamento. O que eu faƧo?

As informaƧƵes no arquivo permitem associar o seu nome ao seu número de telefone. Essa é uma informaĆ§Ć£o que pode ser obtida de diversas fontes, e nem sempre é possível evitar essa associaĆ§Ć£o.

O blog jĆ” deu diversas dicas para evitar essas associaƧƵes, mas nĆ£o existe uma soluĆ§Ć£o definitiva.

É importante que você nĆ£o se assuste com mensagens que associem o seu nome ao número de telefone.

Mantenha a calma e lembre-se que esses vazamentos e banco de dados existem, e que eles podem ser compartilhados sem sua autorizaĆ§Ć£o.

Para diminuir o risco, ajuste as configuraƧƵes das suas redes sociais para bloquear a busca por telefone e nĆ£o deixe informaƧƵes abertas em seu perfil.

Dúvidas sobre seguranƧa, hackers e vírus? Envie para [email protected]

Saiba como proteger seus dados na internet