O ponto fraco do Facebook veio à tona mais uma vez graças a Bogomil Shopov, uma comunidade on-line de marketing e TI profissional de gestão da Bulgária, que recentemente conseguiu comprar um milhão de nomes, endereços de e-mail e Facebook IDs de perfil.
Enquanto navegava na Web em busca de ferramentas e guias de marketing gratuitos para seu negócio, ou “marketing com orçamento zero”, como ele me disse, Shopov foi levado a Gigbucks. Gigbucks é uma plataforma de “comércio eletrônico” semelhante ao Fiverr, onde os compradores podem comprar serviços ou produtos por apenas US$ 5 ou até US$ 50. Mas o que ele encontrou foi uma oferta de um milhão de contas do Facebook e seus endereços de e-mail que foram extraídos de um aplicativo do Facebook. Por curiosidade, Shopov comprou a lista do Excel por US$ 5 e logo depois recebeu a lista conforme prometido. Ele reconheceu que o cabeçalho era turco, indicando que os desenvolvedores responsáveis pela aquisição do usuário as informações eram da Turquia, mas as contas eram principalmente de usuários localizados nos Estados Unidos, Canadá e o Reino Unido.
Vídeos recomendados
Depois de publicar seu postagem no blog detalhando a transação, o Facebook entrou em contato com Shopov por telefone para descobrir como exatamente ele conseguiu todos esses dados. E quando verificamos o URL novamente hoje, percebemos que a oferta havia sido retirada do Gigbucks. Shopov nos disse que os administradores da Gigbucks o notificaram ontem à noite que a oferta foi removida, provavelmente a pedido (leia-se: demanda) do Facebook.
À medida que o Facebook introduziu interações mais contínuas no Facebook Connect e em seus aplicativos Open Graph, tornou-se mais difícil saber do que você está desistindo e a que está dando acesso; é tudo muito menos perceptível do que costumava ser. Os usuários podem não perceber que é bastante simples para os desenvolvedores explorar suas informações; muitos de nós presumimos que desenvolvedores terceirizados de aplicativos do Facebook não usarão suas informações desta forma. “Os dados que fornecemos voluntariamente às redes sociais, mesmo enquanto policiamos as nossas configurações de privacidade, estão a tornar-se cada vez mais vulneráveis”, afirma Robert Leshner, fundador da Safeshefard. “Não é com o Facebook ou mesmo com o LinkedIn que devemos nos preocupar”, acrescenta Leshner. “É o elo mais fraco na cadeia de privacidade e, no momento, são os aplicativos de terceiros. O jardim murado do Facebook não está muito bem isolado – está desmoronando.”
A forma como os desenvolvedores terceirizados fazem isso é criando aplicativos (que podem ou não oferecer valor) com o único propósito de coletar dados do usuário, uma prática que temos falei antes. Quando você usa um aplicativo do Facebook pela primeira vez, aparece uma página que descreve as informações que você está permitindo que o desenvolvedor acesse. Seu endereço de e-mail, nome, ID de usuário, sexo e outras informações básicas são um jogo justo - e se cair em mãos erradas, podem ser agregados em uma lista organizada e vendidos.
Há um grande incentivo entre os profissionais de marketing blackhat para pagar por esta valiosa lista de e-mails reais endereços e contas do Facebook (afinal, o Facebook se tornou conhecido como proprietário de contas reais identidades). Esses endereços podem ser usados para aumentar o número de seguidores nas páginas do Facebook (através de convites), ou os usuários do Facebook podem ser colocados em listas de e-mail. Também pode ser usado para atingir esses usuários específicos com base em endereços de e-mail, números de telefone e ID de usuário. Observe que você pode encontrar a conta do Facebook associada a um endereço de e-mail simplesmente digitando o e-mail na barra de pesquisa do Facebook, da mesma forma que um pesquisador descobriu anteriormente o Perfis do Facebook associados aos números de telefone.
Uma simples consulta na Web revela um mercado clandestino expansivo e próspero para IDs do Facebook vinculados a endereços de e-mail. É uma reminiscência do mercado de contas hackeadas do Twitter que nós informamos sobre no início deste mês. Na verdade, conseguimos comprar algumas dessas listas por apenas US$ 5 cada. Assim como Shopov, recebemos um arquivo .rar com vários arquivos .txt listando mais de 1,5 milhão de endereços de e-mail, nomes e IDs de perfil do Facebook. E sim, foi realmente muito fácil.
O que um dos vendedores nos revelou quão prevalente e comum é a prática de comprar e vender esses dados: Ele comprou uma lista de 32 milhões de endereços de e-mail e contas do Facebook de seus amigos e reempacotou a lista em conjuntos de um a dois milhões de endereços de e-mail para revender. Também parece haver alguma reutilização e reciclagem, pois percebemos que compramos listas duplicadas de dois vendedores diferentes.
Com a nossa crescente dependência da utilização do Facebook ou de outras redes sociais para aceder a aplicações de terceiros, os nossos dados podem ser facilmente utilizados indevidamente e lucrados por terceiros. Antes de permitir que um aplicativo acesse suas informações na próxima vez, você pode querer estar mais atento.
Entramos em contato com o Facebook e iremos atualizá-lo com a resposta.
Recomendações dos Editores
- Facebook diz que carregou acidentalmente contatos de e-mail de 1,5 milhão de usuários
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.