Facebook: Estação Hack é o nome do centro de inovação que será inaugurado (Dado Ruvic/Reuters)
Laura Pancini
Publicado em 22 de abril de 2021 às 10h38.
Após os dados de meio bilhão de usuários terem sido vazados no mês passado, o Facebook enfrenta um novo problema com sua cibersegurança.
Agora, uma ferramenta chamada Facebook Email Search consegue descobrir endereços de e-mail ao vinculá-los com contas no Facebook em uma escala gigantesca, mesmo se o usuário impede que a informação seja pública.
Um pesquisador anônimo gravou um vídeo na última terça-feira, 20, utilizando a ferramenta. Ele compartilhou a informação com o site de notícias Ars Technica, mas pediu que o conteúdo não fosse publicado para o "método não ser explorado". Uma transcrição do vídeo foi feita em inglês e pode ser vista aqui.
Ele também diz que decidiu divulgar a informação após contatar o Facebook e a empresa afirmar que a descoberta não era "importante o suficiente" para ser corrigida. No vídeo, ele alimenta a ferramenta com uma lista de 65.000 endereços de e-mail e mostra o que acontece.
"Como você pode ver no registro de saída aqui, estou obtendo uma quantidade significativa de resultados com eles", disse o pesquisador, enquanto o vídeo mostrava a ferramenta processando a lista de endereços. "Gastei talvez 10 dólares para comprar mais de 200 contas do Facebook. E em três minutos, consegui transformar isso em 6.000 contas [de e-mail]."
O hacker do vídeo afirmou que também testou a ferramenta numa escala maior e conseguiu vincular contas do Facebook a até 5 milhões de endereços de e-mail por dia. Alguns usuários na rede social não permitem que seu e-mail fique público para ninguém — porém, a ferramenta contorna isso facilmente, o que é preocupante.
"Este método está sendo usado por um software que está disponível agora na comunidade de hackers", alerta o pesquisador. "Atualmente, está sendo usado para comprometer contas do Facebook com o objetivo de assumir o controle de grupos, páginas e contas de publicidade do Facebook para, obviamente, ganho monetário."
Em comunicado após a publicação da matéria, o Facebook decidiu se pronunciar sobre o acontecido: "Parece que fechamos erroneamente este relatório de bugs antes de encaminhá-lo para a equipe apropriada. Agradecemos o pesquisador por compartilhar as informações e estamos tomando as medidas iniciais para mitigar esse problema enquanto fazemos o acompanhamento para melhor compreender sua descobertas."
No vídeo, a companhia é acusada de dizer que a descoberta não era "importante o suficiente". Ao ser questionado sobre a acusação feita no vídeo pela Ars, um representante do Facebook decidiu não se pronunciar.
"Acredito que seja uma vulnerabilidade bastante perigosa e gostaria de ajuda para impedi-la", disse o pesquisador. "Estou muito, muito confiante de que não é apenas uma grande violação de privacidade, mas que resultará em um novo, outro grande despejo de dados."