Facebook corrige bug que vazou dados pessoais de milhões de usuários

O Facebook permitiu o acesso a milhões de fotos, perfis e outras informações pessoais de seus usuários, devido a um bug que existe há anos e ignora as configurações de privacidade, dizem pesquisadores da Symantec.

A falha, que os pesquisadores estimam ter afetado centenas de milhares de aplicações, expôs os “tokens” de acesso dos usuários para anunciantes e outros. Esses tokens são chaves usadas por aplicativos conectados ao Facebook para realizar determinadas ações em nome do usuário, como enviar mensagens para o mural ou enviar respostas a eventos. Há anos, muitos apps que usam uma antiga forma de autenticação entregam essas chaves para terceiros, dando-lhes a capacidade de acessar dados que os usuários podem ter configurado como “privadas”.

Os pesquisadores da Symantec disse que o Facebook já resolveu o bug, mas alertou que os tokens já expostos ainda estão disponíveis.

“Não há como estimar quantos tokens já vazaram desde o lançamento dos apps no Facebook, em 2007”, escreveu Nishant Doshi, da Symantec, no blog oficial. “Acreditamos que muitos desses tokens ainda estão disponíveis em arquivos de log dos servidores de terceiros ou ainda estão sendo usados ​​por anunciantes.”

Leia também: “Facebook é uma terrível máquina de espionagem”, diz criador do Wikileaks

Apesar de muitas dessas chaves de acesso expirarem logo após a emissão, o Facebook também fornece tokens de acesso off-line que são válidos por tempo indeterminado.

Para resolver o problema, basta mudar a senha na rede social, o que imediatamente revoga todas as chaves emitidas anteriormente.

A falha reside em um esquema de autenticação anterior ao lançamento de um novo padrão conhecido como OAuth2.0. Aplicativos do Facebook que empregam esse sistema antigo e usam certos códigos vão vazar os tokens em URLs que são abertas automaticamente pela ferramenta.

Um porta-voz da rede social disse que não há nenhuma evidência de que o bug tenha sido explorado de forma a violar a política de privacidade, onde se lê que “Nós nunca compartilhamos suas informações pessoais com os nossos anunciantes”. O Facebook também anunciou que está revogando a antiga rotina de autenticação.

Doshi disse que não há maneira de saber exatamente quantos aplicativos ou usuários do Facebook foram afetados pela falha. Ele estima que, até o mês passado, quase 100 mil aplicativos permitiam o vazamento das chaves. Ao longo dos anos, “centenas de milhares de aplicações podem inadvertidamente ter vazado milhões de tokens para terceiros.”