Dados

Vazamento de dados de 50 milhões de usuários no Facebook é investigado

Cambridge Analytica é acusada de roubar dados da rede social para influenciar eleitores americanos em 2016

Foi confirmado pelo Facebook nesse último domingo (18/03) que está sendo investigado o vazamento de dados sigilosos de 50 milhões de pessoas da rede, provocado pela empresa britânica Cambridge Analytica, que trabalhou em 2016 na campanha do presidente americano Donald Trump, nos Estados Unidos.

Os esquema, que aconteceu entre 2014 e 2015, foi denunciado pelo ex-funcionário da Cambridge Analytica, Christopher Wylie, que contou detalhes aos jornais The Guardian e The New York Times. A empresa obteve um investimento de US $15 milhões de um investidor republicano, Robert Mercer, com a promessa de ferramentas que poderiam identificar as personalidades dos eleitores americanos e influenciar seu comportamento, e tornou-se conhecida durante as eleições nos EUA por ser a primeira a utilizar psicologia comportamental com base em grandes dados e campanhas políticas.

No entanto, as informações que foram colhidas dos perfis do Facebook eram privadas e a empresa não obteve a permissão da rede para realizar a ação. Nas reportagens, Christopher Wylie relatou que desenvolveu um aplicativo para o Facebook chamado thisisyourdigitallife – pertencente à GSR, empresa criada pelo russo-americano Aleksandr Kogan, pesquisador da Universidade de Cambridge e bolsista do governo russo – e nele, os usuários deveriam responder uma série de perguntas em troca de uma certa quantia de dinheiro.

O aplicativo, que fornecia traços de personalidade dos usuários, pedia a permissão para acessar os dados da pessoa no Facebook, e foram cerca de 270 mil usuários que preencheram a pesquisa e disponibilizaram seus dados. No entanto, o aplicativo não avisava que, além das próprias informações, ele também captava os dados de todos os amigos das pessoas que aderiam ao app, o que resultou em um total de 50 milhões de dados roubados e vendidos pela GSR para a Cambridge Analytica.

As regras do Facebook permitem apenas que um aplicativo capte os dados de outras pessoas se forem usados para fins de pesquisa ou para melhorarem a experiência do usuário, e a venda ou repasse dessas informações são proibidas. A violação, no entanto, possibilitou a empresa de explorar a atividade privada de mídia social de uma grande faixa do eleitorado americano, traçando o perfil psicológico de 30 milhões de eleitores e desenvolvendo técnicas que sustentaram seu trabalho na campanha do presidente Trump em 2016.

O caso está sendo apurado, agora, pelo Congresso americano e pelo Parlamento britânico, e separadamente, a Comissão Eleitoral também está investigando o papel que o Cambridge Analytica desempenhou no referendo da UE. “Estamos investigando as circunstâncias em que os dados do Facebook podem ter sido adquiridos e usados ilegalmente”, afirmou a comissária Elizabeth Denham ao The Guardian. “Faz parte da nossa investigação em curso sobre o uso da análise de dados para fins políticos, que foi realizada para considerar como os partidos políticos e as campanhas, as empresas de análise de dados e as plataformas de redes sociais no Reino Unido estão usando e analisando a informação pessoal das pessoas para micro-target”.

A campanha eleitoral de Trump contratou, em junho de 2016, a Cambridge Analytica por US $6 milhões, de acordo com registros oficiais.

 

 

Como o Facebook está sendo afetado com o caso?

Este é um dos maiores vazamentos de dados da história do Facebook. Na última sexta-feira (16/03), quatro dias após o The Guardian ter procurado a empresa para comentar sobre o ocorrido – mas mais de dois anos após a violação dos dados ter sido informada pela primeira vez –, o Facebook anunciou que estava suspendendo a Cambridge Analytica e sua matriz, Strategic Communication Laboratories (SCL) da plataforma, enquanto aguardava mais informações sobre o uso indevido de dados.

As revelações provocaram uma indignação generalizada. A procuradora geral de Massachusetts, Maura Healey, anunciou que o estado estaria iniciando uma investigação. “Os residentes merecem respostas imediatamente do Facebook e da Cambridge Analytica”, disse no Twitter. Além disso, Wylie forneceu às autoridades do Reino Unido e dos EUA evidências que incluem uma carta dos próprios advogados do Facebook enviados a ele em agosto de 2016, pedindo-lhe para destruir todos os dados que foram coletados pela GSR, a empresa criada por Kogan para colher os perfis dos usuários.

A carta foi enviada meses depois que o The Guardian relatou pela primeira vez a violação de dados. “Como esses dados foram obtidos e utilizados sem permissão, e porque o GSR não estava autorizado a compartilhar ou vende-lo, não pode ser usado legitimamente no futuro e deve ser excluído imediatamente”, dizia a carta.

A própria rede social afirmou saber do vazamento em 2015 e culpou Kogan por não ter cumprido as regras da empresa. Mesmo pedindo para que as informações obtidas fossem apagadas, o Facebook não comunicou o vazamento das informações às autoridades e não avisou os usuários que seus dados tinham sido roubados. Apenas dois anos depois, após o caso ser divulgado pelos jornais, foi anunciada a suspensão das contas da empresa.

A plataforma insiste que as informações coletadas foram feitas de maneira legítima, mas reconhece que a utilização dos dados foi nociva. “Estamos empenhados em aplicar rigorosamente nossas políticas para proteger a informação das pessoas. Tomaremos as medidas necessárias para que isso aconteça”, afirmou Paul Grewal, vice-presidente do Facebook, em um comunicado oficial. A empresa está, agora, investigando também relatórios que afirmam que nem todos os dados foram excluídos.

Kogan, de acordo com as reportagens, teve uma licença do Facebook para coletar dados de perfil, mas foi apenas para fins de pesquisa. Então, quando abriu informações para o empreendimento comercial, violou os termos da empresa. Apesar disso, Kogan afirma que não fez nenhuma ação ilegal e teve uma “relação de trabalho” com o Facebook, que concedeu permissão para seus aplicativos.

O caso ainda poderia gerar uma multa multimilionária para o Facebook pela sua possível violação de uma regulação da Comissão Federal de Comércio dos EUA (FTC) que tem como objetivo proteger a privacidade dos usuários de redes sociais. Nessa segunda-feira (19/03), as ações da empresa caíram depois que Mark Zuckerberg enfrentou pedidos de parlamentares dos EUA e da Europa para explicar como a assessoria conseguiu ter acesso aos dados dos usuários. A queda foi de 6,77% e, de acordo com a Reuters, foi o pior dia da empresa desde março de 2014, acumulando uma perda de 10,8% desde seu recorde de fechamento em 1 de fevereiro. Em apenas algumas horas, o Facebook perdeu US $36 bilhões de seu valor de mercado.

O problema coloca em dúvida o modo como o Facebook leva questões como gestão de dados, transparência e ferramentas de publicidade, e a senadora democrata Amy Klobuchar afirmou que Mark Zuckerberg, CEO da empresa, será chamado a depor em um comitê da Casa.

A Cambridge Analytica atuava no Brasil por meio da consultoria A Ponte, do publicitário André Torretta, desde o ano passado segundo informações da Folha. Depois do ocorrido, a empresa anunciou que a parceria não irá mais existir. “É importante dizer que os fatos não aconteceram no Brasil. No entanto, A Ponte decidiu não renovar a parceria com a CA, até que tudo seja esclarecido”, afirmou, em nota, a empresa, que também ressaltou sempre prezar pela ética e transparência em seus negócios.

 

Foto: Reprodução/Flickr

 

Outras falhas de dados polêmicas dos últimos anos

Não é sempre que temos um vazamento de dados tão grande como o do Facebook, mas falhas ocorrem diariamente e em muitos lugares ao mesmo tempo, podendo causar riscos ou danos às empresas, seguradores ou usuários titulares de contas.

 

Pensando nisso, a CSO compilou uma lista de 17 brechas mais significativas do século XXI, e algumas delas envolvem grandes empresas:

1. Yahoo:

Em setembro de 2016, o site, durante negociações para vender-se para a Verizon, anunciou ter sido vítima da maior violação de dados da história, provavelmente por um “ato patrocinado pelo estado”, segundo a empresa, em 2014. O ataque comprometeu nomes, endereços de e-mail, datas de nascimento e números de telefone de 500 milhões de usuários, e a empresa disse que a grande maioria das senhas envolvidas havia sido executada usando o algoritmo bcypt.

Alguns meses depois da primeira denúncia, foi descoberta uma violação ainda maior em 2013 por um grupo diferente de hackers, comprometendo 1 bilhão de contas. Além das informações que também não estavam tão bem protegidas quanto as de 2014, questões de segurança também foram comprometidas. Em outubro de 2017 o Yahoo revisou essa estimativa, dizendo que, de fato, 3 bilhões de contas de usuários foram comprometidas.

A empresa, que já havia sido avaliada em US $100 bilhões, teve seu preço de venda derrubado em cerca de US $350 milhões depois das violações, e a Verizon acabou pagando US $4,48 bilhões pelo negócio. O acordo exigiu que as duas empresas compartilhassem as obrigações legais e regulamentares das violações.

 

2. eBay:

O gigante de leilões online relatou um ataque cibernético em maio de 2014, que dizia que 145 milhões de usuários tiveram seus nomes, endereços, datas de nascimento e senhas criptografadas expostas. A empresa alegou que hackers entraram na rede da empresa usando as credenciais de três funcionários corporativos e tinham acesso interno completo por 229 dias, período durante o qual eles conseguiram chegar ao banco de dados dos usuários.

A empresa pediu aos clientes que mudassem suas senhas, mas disse que informações financeiras, como números de cartão de crédito, foram armazenadas separadamente e não foram comprometidas. O eBay foi criticado no momento por uma falta de comunicação ao informarem seus usuários e pouca implementação do processo de renovação de senhas.

O CEO John Donahue disse que a violação resultou em um declínio nas atividades dos usuários, mas teve pouco impacto na sua receita – no segundo trimestre subiu 13% e ganhou 6%, de acordo com as expectativas dos analistas.

 

3. Uber:

No final de 2016, dois hackers conseguiram obter nomes, endereços de e-mail e números de telefone celular de 57 milhões de usuários do aplicativo Uber, além de receberem os números de licença de motorista de 600.000 motoristas. Até onde sabemos, nenhum outro dado, como cartão de crédito ou números da Segurança Social foram roubados. No entanto, a maneira como a empresa tratou a quebra, uma vez que ela foi descoberta, tornou-se uma lição para outras empresas sobre o que não fazer.

Os hackers conseguiram acessar a conta GitHub da Uber, onde encontraram credenciais de nomes de usuários e senhas na conta da empresa. No entanto, essas credenciais nunca deveriam estar no GitHub. E aqui está a pior parte: não foi até cerca de um ano depois que a Uber divulgou publicamente a violação. A empresa pagou aos hackers US $100.000 para destruírem os dados que foram roubados, alegando ser uma taxa de “bounty bug”.

Acredita-se que a violação tenha custado caro a Uber em reputação e dinheiro. No momento em que a falha foi anunciada, a empresa estava em negociações para vender uma participação à Softbank, e inicialmente a avaliação foi de US $68 bilhões. Quando o acordo fechou em dezembro, sua avaliação já havia caído para US $48 bilhões. Nem toda queda foi atribuída à violação, mas os analistas consideram isso um fator significativo.

 

4. Adobe:

Originalmente relatado no início de outubro de 2013 por Brian Krebs, demorou semanas para que a escala da violação fosse descoberta e o que ela incluía. A Adobe originalmente relatou que hackers roubaram quase 3 milhões de registros criptografados do cartão de crédito de clientes, além de dados de login para um número indeterminado de contas de usuários.

Mais tarde, no mesmo mês, a Adobe disse que os hackers acessaram IDs e senhas criptografadas de 38 milhões de usuários ativos. Ma Krebs relatou que um arquivo postado apenas alguns dias antes “parecia incluir mais de 150 milhões de usuários e pares de senhas de hash tirados da Adobe”. Depois de semanas de pesquisa, concluíram que foi descoberto o código-fonte de vários produtos Adobe, e o hack também expôs nomes de clientes, IDs, senhas e informações de débito e cartão de crédito.

Em agosto de 2015, um acordo exigia que a Adobe pagasse US $1,1 milhão em honorários legais e um valor não divulgado aos usuários para resolver reinvindicações de violação da Lei de Registros de Clientes e práticas comerciais injustas. Em novembro de 2016, o valor pago aos clientes foi reportado em US $1 milhão.

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Início