A violação de segurança revelada em 28 de setembro pelo Facebook afetou dezenas de milhões de contas na rede social, que possui mais de 2,2 bilhões de usuários mensais.

Na quarta-feira, a autoridade irlandesa de dados disse que estava abrindo uma investigação formal para saber se a maior rede social do mundo cumpria as novas e rígidas regulamentações de privacidade da UE.

- O que aconteceu?

Os hackers se aproveitaram de uma "interação complexa" entre três bugs de software, o que exigia um certo grau de sofisticação.

A vulnerabilidade foi criada por uma mudança no recurso de envio de vídeo em julho de 2017.

Envolvia uma falha no recurso "Ver como", que mostrava ao Facebook como seus perfis são para outras pessoas na rede social.

Usando as chaves digitais geradas por recursos, chamado de "tokens de acesso, ", que permite que os usuários permaneçam conectados às suas contas sem ter que digitar novas senhas.

Os hackers conseguiram roubar cópias das chaves digitais, dando a eles o mesmo acesso e controle de contas que seus proprietários legítimos.

Em 16 de setembro, O Facebook notou um aumento na atividade que o levou a investigar.

Em 25 de setembro, Os engenheiros do Facebook determinaram que os hackers lançaram um ataque sofisticado explorando a vulnerabilidade. Uma correção foi implementada dois dias depois e tokens roubados tornaram-se inúteis.

O Facebook não revelou quando os hackers se aproveitaram da falha pela primeira vez, dizendo que a investigação foi precoce.

- Quais dados vazaram?

Hackers de informações pareciam interessados ​​em nomes incluídos, gêneros, e cidades de origem, mas não estava claro para quais propósitos, os executivos disseram em um briefing por telefone.

O Facebook disse que ainda estava tentando descobrir o que, se alguma coisa, hackers fizeram em contas violadas. Não parecia à primeira vista que as mensagens ou postagens foram adulteradas, e não havia acesso a informações bancárias ou de senha, de acordo com a rede social.

Dado que as chaves digitais abriram as portas do Facebook para os hackers, eles teriam a capacidade de acessar aplicativos de terceiros vinculados a contas de redes sociais.

Eles teriam sido capazes de entrar em contas vinculadas, incluindo Messenger ou Instagram, ambos propriedade do Facebook, mas não no serviço WhatsApp da rede social.

Uma análise de logs de aplicativos de terceiros não revelou nenhum sinal de que eles foram interferidos pelos hackers, O Facebook disse em 2 de outubro.

- Quem deve se preocupar?

O Facebook disse que "até 50 milhões de contas" foram afetadas diretamente, o que significa que os hackers roubaram as chaves digitais.

De acordo com a Comissão de Proteção de Dados da Irlanda, cinco milhões ou menos de usuários europeus estavam entre os afetados.

Outros 40 milhões de contas que usaram o recurso "Visualizar como" tiveram os tokens redefinidos, embora não parecesse que fossem alvos de hackers.

- Medidas tomadas pelo Facebook?

O Facebook disse que selou a violação no final de 27 de setembro na Califórnia, onde tem sua sede, e alertou as autoridades policiais dos EUA, bem como os reguladores na Irlanda.

O Facebook invalidou os "tokens de acesso" em questão na violação, exigir que as pessoas façam login novamente com senhas. A rede social informou os envolvidos postando mensagens em feeds de notícias.

- Qual é o risco para o Facebook?

Os riscos para o Facebook dependem de como ele está em conformidade com várias leis e regulamentos, incluindo o novo Regulamento Geral de Proteção de Dados na Europa.

As perguntas que provavelmente serão feitas incluirão se o Facebook foi rápido o suficiente para notificar os usuários sobre a violação e como ele protegeu as contas.

A proteção de dados pessoais está sob a alçada da Federal Trade Commission dos Estados Unidos, mas os estados também podem estar interessados ​​em garantir que as leis locais de privacidade ou proteção de dados não sejam violadas.

Na Europa, a violação do Facebook e como ela foi tratada seriam examinados pelas lentes do GDPR, que reforçou a proteção de dados pessoais.

As empresas agora podem ser multadas em uma porcentagem da receita anual se violarem as regras do GDPR. O Facebook parece ter cumprido o prazo de 72 horas em relação à divulgação pública de um hack, o que poderia poupá-lo de uma multa de mais de um bilhão de dólares.

© 2018 AFP