Más notícias para aqueles que se preocupam com a privacidade e tentaram manter seus dados pessoais e informações longe das garras do Facebook: a empresa sofreu um vazamento de dados massivo que afetou não apenas o bilhão de usuários, mas também, possivelmente, um número não revelado de internautas que sequer usa a rede social.

Para agravar o problema, a empresa de segurança Packet Storm – que relatou primeiro o vazamento de dados – acusa o Facebook de ter minimizado o alcance do vazamento, a ponto de ser “contrária à [sua] própria meta de ganhar a confiança dos consumidores.”

“A medida que um bilhão de usuários realiza o upload de seus contatos, conhecidos dentro e fora do Facebook, eles ficam armazenados e correlacionados ao perfil desses usuários”, alertou a empresa. “Neste ponto, a rede pode ter endereços de email e números de telefone dmilhões de internautas, usuários do Facebook ou não.”

Para compreender a natureza do vazamento de dados, você primeiro precisa saber que a plataforma permite que você envie as informações de seus contatos (nome, números de telefone e endereços de e-mail) e que você pode solicitar que a rede social gere um relatório contendo todas as informações que possui sobre você.

Tal relatório inclui um arquivo chamado addressbook.html, que contém as informações de contato que você forneceu. Isso é bastante simples.

O problema é que, há cerca de um ano, sempre que o Facebook gerou um relatório de informação solicitada pelo usuário, ele não incluiu apenas dados de contato que o usuário carregou, mas também todos os dados armazenados no site associados àquele contato.

Digamos que você deu a 10 conhecidos apenas o seu e-mail de trabalho, e eles acrescentaram essa informação em suas listas de contatos e enviaram isso ao Facebook.

Digamos também que você deu a uma pessoa especial, tanto o seu e-mail de trabalho, quanto o pessoal, juntamente com o seu número de celular privado. Essa pessoa acrescentou esses dados à lista dela de contatos e a enviou para o Facebook.

Graças ao bug, se qualquer um desses 10 primeiros conhecidos solicitaram seus relatório de informações, os arquivos não incluiriam apenas o seu e-mail de trabalho, mas também o seu endereço pessoal e o celular.

Sobre o vazamento Ao detectar o vazamento, o Facebook enviou um e-mail a 6 milhões de usuários potencialmente afetados pelo problema, alertando-os sobre “um erro técnico [que] fez com que seu número de telefone ou endereço de e-mail ficassem acessíveis para outra pessoa”.

A mensagem, então, especificava quais informações poderiam ter vazado e um número estimado de usuários do Facebook que poderiam tê-las visto. “Nenhuma outra informação sobre você foi mostrada e é provável que quem viu estas não é um estranho para você, mesmo que vocês não sejam amigos no Facebook”, dizia a notificação.

Embora a equipe da Packet Storm tenha elogiado o Facebook por alertar os usuários sobre o vazamento, eles estão criticando a rede social por várias razões. Primeiro, acusam o Facebook de minimizar o alcance potencial do vazamento.

“Nós comparamos a notificação do Facebook com os nossos dados de caso de teste. Em um caso, eles declararam que um endereço de e-mail adicional foi divulgado, embora quatro tipos de dados tenham sido realmente divulgados. Para outro indivíduo, disseram que cerca de três de sete dados foram divulgados”, segundo o blog da Packet Storm.

“O Facebook afirmou que a informação não foi declarada porque não podiam confirmar que ela pertencia a um determinado usuário”, o blog continua. “A rede social usou seu próprio critério ao notificar os usuários de quais dados foram divulgados, mas não houve aparentemente nenhum critério usado pelo bug quando compilou os dados.”

Em segundo lugar, a Packet Storm está questionando a decisão do Facebook em não alertar os não-membros da rede que podem ter sido afetados. “Nós perguntamos ao Facebook o que isso significa para os não-usuários que tiveram suas informações divulgadas também. A resposta foi simples. O site sentiu que, se eles tentassem entrar em contato com os não-usuários, isso levaria a mais informações divulgadas”, disse a Packet Storm. “Dado que já mascararam as informações divulgadas no e-mail, sentimos que este é um fraco argumento. Se esconder é bom o suficiente para os seus usuários, porque não seria para não-usuários?”

Em terceiro lugar, a empresa de segurança questionou a abordagem do Facebook em armazenar toda e qualquer informação de contato que o usuário enviou em primeiro lugar: “a responsabilidade de armazenar esses dados adicionais parece óbvia”, de acordo com a empresa, não apenas à luz do recentemente revelado programa de vigilância do governo, mas também o fato de que a empresa foi “atingida com sucesso por hackers mal-intencionados”.

A Packet Storm expôs uma solução para o Facebook e sites de redes sociais que estiverem considerando resolver este problema de dados de usuários em particular.

Em poucas palavras, se um membro carregar informações de um contato, ele deve ser capaz de decidir se quer ou não que o Facebook armazene tais dados. Se o contato negar a permissão – ou não responder dentro de uma semana – os dados são eliminados.