facebook-1903445_640.jpg

Facebook tem quebra de privacidade causada por bug na API de grupos

Da Redação
08/11/2019

Ao remover várias APIs de desenvolvedor, empresa forneceu acesso estendido aos desenvolvedores de aplicativos às informações do Groups

facebook-1903445_640.jpg

O Facebook disse que informações de membros de grupos privados, como nomes e imagens de perfil, podem ter sido acessadas por aproximadamente cem desenvolvedores de aplicativos de gerenciamento de mídia social e streaming de vídeo.

Isso aconteceu depois que a empresa restringiu ou removeu várias APIs de desenvolvedor, incluindo a API de grupos, justamente a que forneceu acesso estendido aos desenvolvedores de aplicativos às informações do grupo por mais tempo do que o pretendido, depois que seus aplicativos retiveram o acesso aos dados.

“Hoje também estamos alcançando cerca de cem parceiros que podem ter acessado essas informações desde que anunciamos restrições à API do Groups, embora seja provável que o número seja menor e diminua com o tempo”, disse Konstantinos Papamiltiadis, diretor de Plataformas e programas para desenvolvedores do Facebook. “Sabemos que pelo menos 11 parceiros acessaram as informações de membros do Groups nos últimos 60 dias”, acrescentou o executivo em post no blog da empresa anunciando alterações no acesso à API do Groups.

Até abril de 2018, os administradores do grupo podiam autorizar um aplicativo para um grupo, o que dava ao desenvolvedor do aplicativo acesso às informações de todos os membros. Porém, como parte das alterações na API do Groups, depois abril daquele ano, se um administrador autorizasse esse acesso, esse aplicativo obteria apenas informações, como o nome do grupo, o número de usuários e o conteúdo das postagens. Para que um aplicativo acesse informações adicionais, como nome e foto do perfil, em conexão com a atividade do grupo, os membros do grupo precisam aceitar, segundo Papamiltiadis.

O Facebook diz que os desenvolvedores que podem ter acessado as informações dos membros do grupo após o anúncio das restrições da API do Groups em abril de 2018 serão solicitados a excluir os dados dos membros que podem ter sido retidos, embora nenhuma evidência de abuso tenha sido descoberta até o momento.

A empresa também planeja realizar auditorias para confirmar que os desenvolvedores excluíram os dados conforme solicitado.

Esse incidente faz parte de uma longa lista de erros de segurança e privacidade que impactaram a rede social nos últimos anos, culminando com um acordo com a Comissão Federal de Comércio (FTC) dos EUA, em julho deste ano, exigindo que o Facebook pague multa de US$ 5 bilhões após a investigação sobre a Cambridge Analytica ter sido concluída. Essa foi a maior multa aplicada por violação de privacidade do consumidor já paga por uma empresa e uma das maiores já impostas pelo governo dos EUA por qualquer tipo de violação.

Como parte desse acordo, a empresa recebeu ordens para implementar uma nova estrutura de proteção de privacidade e informações, além de fornecer à FTC novas ferramentas de monitoramento. O contrato também foi projetado para resolver acusações alegando que o Facebook violou uma ordem de consentimento da FTC a partir de 2012 “enganando os usuários sobre sua capacidade de controlar a privacidade de suas informações pessoais”.

No fim de março deste ano, a empresa divulgou que as senhas de centenas de milhões de usuários do Facebook e Instagram foram armazenadas em texto sem formatação por anos em vários sistemas internos de armazenamento de dados.

Em setembro de 2018, o Facebook afirmou que uma vulnerabilidade de segurança associada ao recurso “Visualizar como” do Facebook afetava 50 milhões de usuários e permitia que terceiros mal-intencionados pudessem acessar informações da conta dos usuários. Um mês depois, o Facebook disse que 30 milhões desses usuários tiveram seus tokens de acesso roubados pelos atacantes. O Facebook também revelou em abril de 2018 que a Cambridge Analytica acessou as informações pessoais de mais de 87 milhões de usuários (80% deles cidadãos dos EUA), e não 50 milhões, como informou a empresa inicialmente.

Compartilhar: