A ESET, fornecedora de soluções de segurança, alerta a venda de dados de 1,5 bilhão de usuários do Facebook coletados por meio de scraping. Esta técnica permite a coleta de informações de sites em massa por meio de scripts automatizados. Os dados incluem nome, endereço de e-mail, número de telefone, localização, gênero e ID do usuário.
LEIA MAIS: Dados de usuários de redes sociais podem estar à venda na dark web
Basicamente, o web scraping é usado para indexação de sites ou análise de dados de diferentes páginas e se tornou muito popular em algumas ações de marketing digital, como melhorar o posicionamento na web ou obter métricas. Isso torna muitas das ferramentas de scraping disponíveis na Internet e muito fáceis de usar, segundo a ESET.
Conforme explica o site Privacy Affairs, que divulgou a notícia, quem publicou os dados garante que as informações são novas e que foram recolhidas através de scraping, o que significa que não foi necessário comprometer nenhuma conta dos usuários. Basicamente, são dados que já são públicos para quem acessa o Facebook.
O caso começou em 22 de setembro, quando um usuário usou um fórum para colocar à venda um banco de dados que supostamente contém informações sobre 1,5 bilhão de usuários do Facebook, coletados através do scraping. A venda se tornou pública no dia 4 de outubro, dia em que ocorreu uma interrupção global por várias horas dos serviços do Facebook, WhatsApp e Instagram, mas não tem relação com os dados publicados.
Em um comunicado o Facebook afirmou que a interrupção do serviço foi devido a um erro de configuração no backbone que coordena o tráfego de rede entre seus centros de dados. A empresa também confirmou que não havia evidências de que os dados do usuário foram comprometidos durante a interrupção.
Os dados são reais?
O vendedor desta base de dados de usuários do Facebook oferece a possibilidade de baixar a informação na íntegra ou em pequenas partes. Ele garante que trabalha para uma empresa que se dedica ao scraping e que desenvolve esta atividade há pelo menos quatro anos e tem mais de 18 mil clientes.
Após a publicação dele no fórum, alguns supostos clientes questionaram a legitimidade dos dados e alegaram que após fazer a compra as informações não chegaram. No entanto, conforme explicado pelo Privacy Affairs, o vendedor negou as acusações e disse que tinha evidências para mostrar que os dados são verdadeiros.
Em abril deste ano, algo semelhante aconteceu quando se soube que dados de mais de 500 milhões de usuários do Facebook foram colocados à venda em fóruns. Dias depois, outro banco de dados foi publicado para venda, mas desta vez com informações de usuários do LinkedIn que também foram coletadas por meio de scraping.
Além disso, há alguns meses, a ESET já havia analisado como os golpistas usaram ferramentas de scraping de seguidores do Instagram como parte de uma farsa que tentava roubar dinheiro de clientes de diferentes bancos.
Os riscos para os usuários
O problema é que, caso o vazamento destes dados seja real, pessoas mal-intencionadas podem utilizar as informações de várias maneiras. A ESET explica que os dados podem ser úteis para lançar ataques de engenharia social usando o nome e endereço de e-mail da pessoa para. Dessa forma, seria possível enviar e-mails de phishing com o objetivo de roubar credenciais de acesso, dados financeiros ou mesmo convencer potenciais vítimas a baixar um vírus de computador.
Além disso, o uso desses dados pode permitir que os invasores usem o nome da vítima e outros dados, como o número de telefone, para personalizar o engano, torná-lo mais confiável e, portanto, mais eficaz. Os dados do número de telefone também podem ser usados para ataques de SIM Swapping (troca do chip de telefone) ou envio de SMS fraudulentos.