Folhapress

SÃO PAULO, SP (FOLHAPRESS) - O Facebook anunciou nesta sexta-feira (28) que invasores roubaram tokens de acesso na rede social e que a vulnerabilidade afetou 50 milhões de contas, que tem 2 bilhões de usuários no mundo.

Como medida de segurança, a empresa deslogou a conta de 90 milhões de usuários, o que significa que quem entrava na rede social de modo automático, sem incluir a senha, foi desconectado e precisou incluir a senha novamente.

Até agora, a empresa não registrou o vazamento de informações pessoais na internet, mas especialistas em segurança da informação alertam que o roubo de tokens é perigoso, pois dá acesso à conta dos usuários e todo o seu controle, de mensagens privadas a fotos que estão públicas ou em álbuns fechados.

"Hoje você faz o login e não coloca mais a senha durante um mês, por exemplo. É assim no Google, no Facebook. No momento que você acessa, eles usam um algoritmo criptográfico que te reconhece. A pessoa fica ligada a um código, uma sequência de caracteres conhecida como token, que a autoriza", explica Igor Rincon, especialista em segurança de informação.

Com o token, o Facebook entende que o acesso à rede social por determinado celular ou máquina é autenticado e permite o acesso da pessoa sem que ela precise digitar a senha.

Como saber se tive a conta invadida?

A empresa não anunciou quais países foram afetados, apenas que deslogou a conta de 90 milhões de pessoas. Se você não costumava colocar a senha e precisou fazer isso, há duas possibilidades: ou sua conta está entre as vulneráveis ou, no último ano, você acessou a função "ver como", no qual usuários conseguem ver como outras pessoas enxergam seu perfil na rede social.

Verifique nas configurações de sua conta os dispositivos que estão conectados a ela e os respectivos locais de origem. Se aparecer alguma cidade que você não esteve, é provável que seu perfil tenha sido invadido.

Qual a consequência de uma invasão ao meu perfil?

Invasores podem ler mensagens privadas, olhar fotos privadas, fazer o download delas, bem como alterar informações pessoais e se fazer passar por você. Isso pode ter inúmeras implicações relacionadas à falsidade ideológica.

Como me proteger nas redes sociais?

1. Altere sua senha e não use a mesma em diferentes redes sociais, como LinkedIn e Twitter. Evite sequências numéricas, como número de telefone, data de nascimento e placa do carro, e palavras conhecidas de qualquer idioma.

"Uma dica que costumo dar é: selecione a primeira letra de cada palavra da sua música preferida, para você ter uma referência, e inclua números e caracteres especiais no meio", diz Fernando Amatte, diretor de ciberinteligência da Cipher.

2. Habilite a verificação em dois fatores. Vá até as configurações de segurança e ative o duplo fator de autenticação. Faça isso em todas as redes sociais. Dessa forma, você só entra na rede por um dispositivo se confirmar sua identidade em outro meio, seja com QR Code ou por SMS no celular.

3. Seja um usuário vigilante. Ative notificações de redes sociais no seu email para saber quando algo acontece na sua conta. Fique atento a qualquer mensagem ou notificação estranha.

4. A dica é antiga, mas tenha antivírus atualizado no computador e, se possível, obtenha um para dispositivos móveis. Se, porventura, a partir das informações acessadas no Facebook, o invasor tentar instalar algum programa na sua máquina, o antivírus detecta a movimentação.

O que diz o Facebook?

A empresa afirma que as investigações estão em estágio inicial. Informa que o ataque explorou uma "interação complexa envolvendo uma série de ocorrências em nossos códigos" e que nasceu de uma mudança de código feita na ferramenta de upload de vídeo em julho de 2017, que impactou a funcionalidade "Ver Como".

"Os invasores não precisaram apenas encontrar essa vulnerabilidade e usá-la para ganhar acesso a um token, mas também tiveram que ir desta conta a outras para roubar mais tokens."

Segundo o Facebook, ainda é preciso confirmar se as contas foram mal utilizadas ou se alguma informação foi acessada. É preciso ressaltar que essa vulnerabilidade de segurança não tem relação com o caso da Cambridge Analytica, que colocou a empresa em uma de suas piores crises de imagem este ano.