Um ataque informático ao Facebook, detetado na terça-feira à tarde, expôs informação de perto de 50 milhões de contas de utilizadores da maior rede social do mundo. A falha de segurança permitiu a exploração de uma vulnerabilidade no código da programação do próprio Facebook, mas não é necessário que os utilizadores alterem a sua palavra-passe, explicou a empresa num comunicado disponibilizado esta sexta-feira.

Aos jornalistas, numa conferência telefónica em que o Observador participou esta tarde, Mark Zuckerberg disse que este “é um assunto sério” e por isso é que estamos focados em resolvê-lo e garantir que tudo está seguro”.  O líder daquela que é a maior rede social do mundo, disse ainda que sabe “que há ataques constantes” e que as equipas que estão a trabalhar no Facebook estão a esforçar-se para prevenir isso”. A empresa afirmou que alertou o FBI e as autoridades europeias na Irlanda — onde é a sede na União — do ataque.

A comissão de proteção de dados irlandesa confirmou ao Observador que recebeu esta sexta-feira a notificação. Contudo, a entidade afirma que a notificação não tem toda a informação necessária e pede, “com urgência”, mais informações ao Facebook.

“A privacidade e segurança das pessoas é incrivelmente importante e lamentamos que isto tenha acontecido. É por isso que tomámos medidas imediatas para proteger estas contas e informámos as pessoas que isto tinha acontecido. Não é preciso ninguém mudar a sua password”, lê-se no comunicado.

A investigação ao que se passou ainda está a decorrer, mas a equipa de engenharia da rede social informa que já ativou uma série de medidas para proteger a segurança das informações que os utilizadores disponibilizam na rede. A vulnerabilidade do sistema terá sido utilizada pelos atacantes através da funcionalidade “View as” [Ver como], que permite aos utilizadores ver o seu perfil como aparece para as outras pessoas. Como medida de precaução esta funcionalidade foi removida em todas as contas do Facebook.

“Falta informação detalhada na notificação do Facebook” à Comissão de Proteção de Dados na Europa

Esta falha na segurança terá permitido aos atacantes aceder ao acessos token (chaves digitais que permite que os utilizadores se mantenham ligados à rede sem terem de introduzir sempre as palavras-chave) dos utilizadores, chegando, por esta via, às suas contas. O Facebook diz que resolveu logo a vulnerabilidade encontrada esta terça-feira e que os utilizadores não precisam de tomar nenhuma medida. “Os tokens de entrada é que foram comprometidos, não as palavras-passe”, explicou Guy Rosen, vice presidente de produto da empresa, acrescentando que as medidas de segurança necessárias foram já efetuadas pela rede social.

Segundo o Facebook esta vulnerabilidade surgiu a julho de 2017 com novas medidas implementadas na rede social para o upload de vídeos. Como esta ferramenta está ligada ao token de acesso guardado um bug permitiu o acesso da informação de milhões de utilizadores. “O vídeo uploader criou um access token para o utilizador de que se estava à procura e não para o que procurava”, explicou Rosen. Este bug fez a rede social ter um número de acessos demasiado elevados ao Facebook que levou a concluir, esta terça-feira, que tinha existido um ataque.

Isto é claramente uma quebra de confiança, estamos a trabalhar com legisladores e com as autoridades para evitar que isto aconteça outra vez, explicou Guy Rosen, acompanhado por Mark Zuckerberg numa conferência telefónica.

Os atacantes tiveram acesso a informações como o “nome, cidade e género” dos utilizadores, segundo foi explicado na conferência telefónica com jornalistas. O Facebook não sabe a extensão de todas as informações a que os atacantes tiveram acesso, mas garante que dados de cartão de crédito não foram comprometidos, explicou Rosen.

Vimos este ataque ser feito a uma escala muito grande e foi assim que o encontrámos. Em termos de dados não encontrámos nenhuma informação do que foi roubado”, disse Rosen.

A seguir, a rede social reiniciou as contas das 50 milhões de pessoas que foram afetadas por esta vulnerabilidade e que tomou medidas adicionais para outras 40 milhões de contas. No total, há cerca de 90 milhões de pessoas foram forçadas a desligar-se e voltar a ligar-se à rede social, introduzindo novamente a palavra passe. Isto acontecerá em todas as apps cujo login façam através da conta do Facebook. Quando estas pessoas voltarem à rede social se ainda não o fizeram esta sexta-feira, as pessoas receberão uma notificação que lhes explica o que aconteceu, afirma a empresa como resposta à necessidade de, com novo Regulamento Geral sobre Proteção de Dados, ter de informar os utilizadores.

Sobre o ataque o Facebook afirma que sabe pouco e que a “investigação ainda está em fases muito iniciais”. Sobre se os atacantes serem piratas informáticos experientes para se poderem aproveitar desta vulnerabilidade a rede social apenas afirmou que a aproveitação deste erro surgiu “de uma combinação de bugs” e que foi preciso “um certo nível [de perícia]” para abusar desta vulnerabilidade. “Vamos continuar a investigação”, responderam sempre os responsáveis da rede social sobre pedidos de mais informações sobre esta falha de segurança.

Por esta altura, o Facebook ainda não consegue determinar se a informação das contas foi comprometida, apenas sabe que esteve exposta. Também ainda não tem dados sobre quem serão os atacantes ou onde se encontram. “Não sabemos se, ou como, estão a utilizar estes dados”, explicou a rede social.

O Facebook conta com cerca de 2,2 mil milhões de utilizadores, além de deter outras plataformas como o Instagram ou o WhatsApp. No comunicado divulgado esta sexta-feira, a empresa diz que o ataque informático explorou vários detalhes do código que suporta o Facebook e que terá surgido de uma alteração que a empresa fez à forma como se descarregam vídeos para a plataforma, em julho de 2017.

A equipa aconselha ainda que quem estiver com problemas a aceder novamente à rede social deve contactar o centro de apoio do Facebook. Quem quiser terminar a sessão que tem no Facebook (fazer logout) deve consultar a secção de “Segurança e Login” da sua conta, onde consta informação sobre todas as apps em que o utilizador usa a sua conta do Facebook como login. Aqui, poderá terminar a sessão em todas as apps de uma só vez.

O ataque seis meses depois do caso Cambridge Analytica

A falha de segurança acontece seis meses depois de o Facebook ter vivido um dos seus piores momentos: em março, o The Observer e o The New York Times revelaram que a empresa de análise de dados britânica Cambridge Analytica utilizou indevidamente os dados de 50 milhões de contas (soube-se mais tarde que eram, afinal, 87 milhões de perfis) para ajudar a eleger Donald Trump. Os utilizadores participaram num teste de personalidade em 2013 que tinha como fim uma investigação académica, mas que serviram para criar influência política.

12 coisas que tem de saber para perceber a polémica do Facebook e da Cambridge Analytica

O Facebook soube disto em 2015 e pediu à Cambridge Analytica para apagar os dados, mas não fez mais nada para se certificar que isso tinha efetivamente acontecido. Mark Zuckerberg foi amplamente criticado e foi ouvido durante 10 horas em duas audições no congresso norte-americano. Foi também ouvido no Parlamento Europeu, posteriormente, numa curta reunião com os líderes dos partidos europeus.

Facebook: 5 medidas (e mais uma) para proteger a sua conta e que pode fazer já

Nos últimos meses, depois de a “quebra de confiança”, como referiu Zuckerberg quando pediu desculpa pelo sucedido, a rede social tem investido na segurança da rede social. Cerca de 20 mil funcionários estão a ser contratados apenas para garantir que as redes sociais do Facebook são mais seguras. Esta aposta na segurança “mostra é que fomos mais rápidos [a saber do ataque]”, assumiu Guy Rosen.

Um dos principais focos tem sido na segurança das próximas campanhas eleitorais. Zuckerberg tinha prometido que a rede social ia investir bastante para evitar novos cenários de falha de proteção de dados. “A segurança é como uma corrida de armas”, afirmou o líder e fundador da maior rede social do mundo em defesa do esforço feito para os utilizadores continuarem a ter confiança no Facebook.