Uma empresa de dados com sede em Washington que construiu 48 milhões de perfis pessoais extraindo dados de sites de mídia social vazou os dados publicamente, de acordo com um reportagem da ZDnet.
O site afirma que a empresa, LocalBox, deixou os dados do perfil em um balde de armazenamento Amazon S3 público (mas não listado), onde não era protegido por senha e acabou sendo descoberto por Chris Vickery, diretor de pesquisa de risco cibernético da UpGuard.
De acordo com UpGuard, o bucket continha um único arquivo compactado que, quando extraído, revelou um arquivo de 1,2 TB de dados públicos.
O conjunto de dados “combina informações pessoais padrão, como nome e endereço, com dados sobre o uso da Internet pela pessoa, como históricos do LinkedIn e feeds do Twitter”.
“Essa combinação começa a construir uma imagem tridimensional de cada indivíduo afetado – quem são, do que falam, do que gostam, até mesmo do que eles fazem para viver – em essência, um plano para criar conteúdo persuasivo direcionado, como publicidade ou campanha política”, o relatório continuou.
A empresa de segurança alertou a LocalBox sobre o vazamento em 28 de fevereiro, e o balde foi protegido horas depois.
O diretor de tecnologia da LocalBox, Ashfaq Rahman, disse ao ZDnet em um e-mail que “acredita-se que nenhum outro indivíduo tenha acessado este arquivo do balde S3”.
Em um telefonema anterior, ele disse ao site que Vickery havia “hackeado” o balde S3 publicamente acessível e também contestou o número de perfis públicos no conjunto de dados, dizendo que a maioria deles fabricava dados usados para teste.
No mês passado, o Facebook se viu em apuros depois que o denunciante Christopher Wylie acusou a empresa de dados Cambridge Analytica de colhendo os dados de 50 milhões de usuários do Facebook para influenciar os resultados do referendo da UE e das eleições presidenciais dos EUA.
Desde então, a rede social desvendou um série de mudanças às suas APIs, impedindo que os desenvolvedores acessem dados pessoais.
O site também desativou a opção de procurar perfis do Facebook por e-mail ou número de telefone, alegando que o recurso havia sido “abusado” por agentes mal-intencionados.
Ver relacionados
“Dada a escala e sofisticação da atividade que vimos, acreditamos que a maioria das pessoas no Facebook poderia ter seu perfil público raspado dessa maneira. Portanto, agora desativamos esse recurso”, disse o CTO do Facebook, Mike Schroepfer.
A partir do final de maio, a UE introduzirá regras de privacidade de dados muito mais rígidas, GDPR entra em vigor. Na terça-feira, Facebook anunciou que oferecerá proteção de privacidade mais ampla a todos os seus usuários, não apenas aos da UE.
“Todos – não importa onde morem – serão solicitados a revisar informações importantes sobre como o Facebook usa dados e fazer escolhas sobre sua privacidade no Facebook”, explica o anúncio.
