Opinião
Falha de configuração causa vazamento de dados gigante em Facebook, Instagram e Linkedin
400 GB de informações públicas e privadas deixaram 214 milhões de usuários expostos
Segundo pesquisadores do Safety Detectives, uma falha de configuração do servidor chinês SocialArks propiciou o vazamento de 400 GB de informações públicas e privadas de 214 milhões de usuários do Facebook, Instagram, Linkedin e outras redes sociais. Tudo isso por conta da falta de uma senha ou criptografia, de acordo com pesquisadores do Safety Detectives. Eles estavam fazendo uma checagem de rotina quando descobriram a falha, de acordo com o site Threatpost.
Ainda segundo o site Threatpost, dados como fotos de perfil, informações de contato (e-mail e telefone) e profissionais (nome da empresa e cargo), número de seguidores, hashtags mais usadas e comentários foram algumas das informações que ficaram públicas.
Segundo o Safety Detectives, 11.651.162 perfis de usuários do Instagram, 66.117.839 do Linkedin e 81.551.567 do Facebook foram detectados. Outros 55.300.000 de redes sociais do grupo do Facebook foram deletados horas depois que o servidor vulnerável foi descoberto pelo grupo.
A empresa chinesa implementou medidas de segurança no banco de dados revelado pelos pesquisadores no mesmo dia. Porém, infelizmente, o vazamento já havia ocorrido.
Empresas
Ao contrário do que informaram os pesquisadores, Instagram e Facebook não acharam evidências de comprometimento dos dados de seus clientes. Em comunicado por e-mail um porta-voz do Facebook respondeu que: "analisamos essas declarações e não encontramos evidências de que nossos sistemas foram comprometidos, nem conseguimos verificar a idade ou autenticidade dos dados neste banco de dados".
Já o Linkedin, via e-mail também, não confirmou ou desconfirmou o vazamento de dados, mas informou que trata com cuidado os dados de seus usuários com uma política que não permite que qualquer software importe ou copie informações da plataforma. Veja a nota na íntegra a seguir:
“Para manter os dados de nossos usuários seguros, não permitimos o uso de qualquer software que importe ou copie informações do LinkedIn de acordo com nosso Contrato do Usuário. Temos mecanismos em vigor para nos proteger contra o uso de tais ferramentas em nossa plataforma e estamos trabalhando constantemente para melhorá-las. Quando as violações do Contrato do Usuário chegam ao nosso conhecimento, investigamos e tomamos medidas para proteger os dados dos membros de nossa comunidade”.
LGPD
“Vale lembrar que, juridicamente, empresas que contratam servidores terceirizados podem ser responsabilizadas, ainda que a falha tenha ocorrido nesses terceirizados. Além disso, no Brasil, a LGPD (Lei Geral de Proteção de Dados), em vigor desde o ano passado, impõe em certos casos o dever de que a empresa controladora dos dados pessoais comunique o incidente aos titulares dos dados e à Autoridade Nacional de Proteção de Dados, que, a partir de agosto deste ano, poderá aplicar sanções (inclusive multas e restrições) para eventos ocorridos a partir de então", opina Luis Fernando Prado, advogado especialista em Propriedade Intelectual pela FGV-SP, mestre em Direito Digital pela Universidade de Barcelona e certificado pela International Association of Privacy Professionals (IAPP), além de sócio fundador do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados.
