O Facebook não é de confiança

Se ainda havia dúvidas, os acontecimentos do fim de semana tornaram tudo muito claro para quem andava distraído: Mark Zuckerberg e Sheryl Sandberg não têm a mais pequena consideração pela vida privada dos utilizadores.

Eram 9h22 de sábado, dia 3 de abril, quando um utilizador de um fórum de hacking carregou no botão “publicar”. A partir desse instante, mais de 77 GB de informação privada de centenas de milhões de pessoas passou a estar acessível a qualquer pessoa, mediante o pagamento de oito euros.

Entre esses dados estão mais de 2,2 milhões de contas em Portugal, mas também informação de cidadãos de um total de 103 países.

Perante um caso desta gravidade, o Facebook falhou em toda a linha.

Primeiro, falhou em proteger os dados pessoais das pessoas. Depois, falhou em impedir que os responsáveis pela fuga partilhassem aquela informação com outros cibercriminosos. Falhou uma terceira vez, quando esses dados surgiram à venda num fórum na internet. E falhou uma quarta vez, por não reconhecer a dimensão do problema.

Esta última falha é agravada pela sua própria natureza. Quando começaram a surgir notícias de que dados pessoais de 533 milhões de contas estavam “ao preço da chuva” num fórum público, a empresa fez aquilo a que já nos habituou – sacudiu a água do capote.

Era caso para rir, se não fosse tão dramático. Durante a tarde de sábado, uma responsável de comunicação da empresa prestou-se ao ridículo papel de comentar as notícias que iam sendo publicadas no Twitter, escrevendo: “Isto são dados antigos já reportados em 2019. Encontrámos e corrigimos o problema em agosto de 2019.”

É preciso muita falta de noção para afirmar que dados como o nome, data de nascimento, email, número de telemóvel, localização geográfica, ocupação e até estado civil podem ser categorizados de “dados antigos”. Mais ainda quando têm menos de dois anos.

Depois disto, o Facebook torceu para que o assunto morresse ali. Mas não morreu, porque é a nossa informação privada que foi exposta e comprometida. Durante dias, aquela foi a única reação conhecida por parte da rede social. Só a 6 de abril, três dias depois, é que um responsável veio dar uma justificação mais detalhada.

Num artigo de sete parágrafos, Mike Clark, diretor de gestão de produto, tentou tranquilizar os utilizadores. Garantiu que o sistema da rede social não foi invadido e que a informação foi recolhida e compilada pelos hackers recorrendo a programas informáticos automáticos, uma técnica conhecida por scraping.

“O scraping é uma tática comum que muitas vezes recorre a software automatizado para recolher informação pública da internet que pode acabar por ser distribuída em fóruns como este”, afirmou o responsável.

Atente na escolha da palavra “pública”, porque o seu uso não é inocente. O que este diretor do Facebook quer dizer, na verdade, é que a responsabilidade por os seus dados estarem à venda na internet é sua. Afinal, fomos nós que escolhemos dar estes dados ao Facebook.

Não há palavras para descrever a gravidade desta linha de argumentação. Num artigo recente intitulado de “Opções obrigatórias”, tive a oportunidade de argumentar contra a ideia de que estamos no Facebook (ou no WhatsApp) porque queremos. Nem sempre é esse o caso, e a rede social sabe isso.

O mal está feito, é certo, mas nem uma palavra ou um pedido de desculpas de Mark Zuckerberg, nem uma atitude pedagógica a explicar as consequências de tudo isto. Nada disso. A principal recomendação do Facebook no artigo de Mike Clarke, pasme-se, é esta: os utilizadores devem ter cuidado com o que partilham publicamente. A sério?!

O meu número de telemóvel e outros dados pessoais foram expostos nesta fuga. E o de Mark Zuckerberg, alegadamente, também. Tenho a convicção de que o meu contacto não esteve publicamente visível no meu Facebook, nem o CEO terá deixado o seu à vista de toda a gente.

Por isso, devo dizer que tenho muitas dúvidas sobre se o Facebook terá descoberto e entendido, verdadeiramente, o que se passou para esta base de dados existir. Mas não tenho como ir mais além do que isto, pelo que fica para outra oportunidade.

Uma última coisa. Se o mal está feito e não há como voltar atrás, prepare-se, porque daqui para a frente só pode ficar pior.

A facilidade de acesso a esta base de dados, bem como a sua segmentação por países, estado civil e outras informações, vai certamente gerar campanhas de phishing e volumes massivos de correio eletrónico não solicitado. Muitos dos lesados arriscam ser vítimas de esquemas que visam o roubo de informação de cartões de crédito ou outros dados importantes.

Vale a pena ficar atento a este tipo de situações nos próximos meses. Tenha o triplo do cuidado e suspeite de qualquer email ou SMS que lhe peça para carregar num link para desalfandegar uma encomenda, ou para poder receber o reembolso do IRS.

Desconfie. Não confie. Sobretudo no Facebook.

A tecnologia do ECO está agora disponível em podcast. Assine o Boletim Digital no Spotify, no Google Podcasts, no Apple Podcasts, ou onde quer que oiça os seus podcasts.

Subscreva aqui a newsletter de Tecnologia do ECO.