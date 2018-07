O canadense Ron Bowes criou um script e, com ele, conseguiu rastrear e baixar 2,8 GB de dados de mais de 100 milhões de usuários do Facebook. Ele criou uma lista contendo nome, URL do perfil, informações de contato e lista de amigos de cada perfil escaneado e a colocou disponível para download no BitTorrent. O arquivo se espalhou rapidamente e já foi baixado mais de mil vezes no Pirate Bay, o maior site de compartilhamento de arquivo do mundo.

Para conseguir todos esses dados, no entanto, Bowes não precisou invadir uma única conta. Todas as informações coletadas estavam configuradas como públicas pelos próprios usuários e disponíveis em sistemas de busca. Só foi necessário varrer os sites de pesquisa e reunir os dados.

Foto: reprodução

O canadense diz estar contribuindo com um projeto open source que testa a “força-bruta” em ataques a logins. Segundo ele, a decisão de publicar foi para alertar sobre as questões de segurança e privacidade da maior rede social do mundo. “Quando pensei melhor e falei com outras pessoas sobre o que tinha conseguido, percebi que essa é uma questão assustadora sobre nossa privacidade. Eu posso achar o nome de todas as pessoas do Facebook”, diz ele em seu blog.

Apesar de não apresentar um perigo real para os usuários das contas rastreadas, essa ação mostra que a criação de um extenso banco de dados através da rede social é relativamente simples e já pode ter sido feita antes com ainda mais informações sobre os usuários sem que ninguém tomasse conhecimento. O ataque também não pode ser classificado como ilegal, pois não houve quebra de sigilo de nenhuma conta, já que Bowes só coletou dados públicos.

Em informe oficial, o Facebook reiterou que nenhuma informação particular foi violada e que todos os dados na lista já estavam disponíveis online. “As pessoas que usam o Facebook são donas de suas informações e têm o direito de compartilhá-las apenas o que elas querem, com quem elas querem e quando elas querem”, diz a nota.

“Nesse caso, as informações que as pessoas concordaram em tornar públicas foram coletadas por um pesquisador único e já existiam no Google, no Bing e em outros sistemas de busca, assim como no próprio Facebook”, acrescenta.

Simon Davies, do observatório Privacidade Internacional, disse à BBC News que a rede social recebeu alertas de que algo parecido com isso poderia acontecer. “O Facebook deveria ter se antecipado a esse ataque e tomado medidas para prevenir ações como essa. É inconcebível que uma empresa com centenas de engenheiros não tenha imaginado um ataque dessa magnitude; ele agiu com negligência”, afirmou.

Davies acredita que o ataque só foi possível devido à confusão das configurações de privacidade. “As pessoas não entendem as configurações de privacidade e o resultado é esse”. A ação de Bowes também serve para alertar as pessoas do real sentido de “informações públicas” e do quanto um dado pode ser espalhar pela web.

Idas e vindas

No início deste ano, usuários, governos e entidades internacionais apresentaram diversas queixas sobre a política de privacidade do Facebook. Os protestos falavam da complexidade das configurações dos graus de publicidade das informações dentro da rede social.

No Facebook, os ajustes costumavam ser específicos – era possível optar pelo grau de publicidade de cada informação separadamente. Zuckerberg afirmava que queria dar aos usuários pleno controle sobre cada um de seus dados. Mas o efeito foi o inverso: reclamações sobre a complexidade proposital e o tempo gasto para se fazer configurações básicas foram se intensificando.

Em resposta, o Facebook simplificou as configurações – manteve a estrutura granular, mas adicionou controles gerais de configuram facilmente grandes blocos de informações.

Outra reclamação recorrente dava conta do fato de o Facebook, por padrão, tornava toda nova informação pública. Com as mudanças dos termos de privacidade que aconteceram no último semestre (e não foram poucas), toda informação que era contemplada por uma nova regra era tornada pública sem o consentimento expresso do usuário.