Segurança

Por Paulo Alves, para o TechTudo


Um banco de dados com 235 milhões de perfis do Instagram, TikTok e YouTube estava exposto na Internet. Segundo Bob Diachenko, da empresa de segurança Comparitech, o pacote estava disponível abertamente na web, sem proteção com senha. A detecção do banco de dados aconteceu no dia 1 de agosto, mas os especialistas só revelaram a informação na última quarta-feira (19), depois que o servidor foi retirado do ar. Segundo especialistas, o vazamento pode alimentar diversos tipos de fraudes e golpes online. Ainda não se sabe se perfis brasileiros compõem o conjunto.

Informações como nome completo de usuários, foto de perfil, idade e número de seguidores teriam sido obtidas pela agência de marketing digital Deep Social utilizando coleta de dados por meio de raspagem web (web scrapping). O uso da técnica não é ilegal, mas é proibido pelos termos de uso das redes sociais. Em resposta ao TechTudo, Facebook (empresa dona do Instagram), TikTok e YouTube condenaram a prática. No final do texto, estão os posicionamentos das plataformas.

Servidor aberto na web expôs dados de 235 milhões de perfis — Foto: Pond5

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

Apontada como responsável pela obtenção e o vazamento dos perfis, a Deep Social seria ligada à outra empresa, chamada Social Data. Procurada pela Comparitech, ela se defendeu dizendo que o banco de dados contém apenas informações disponibilizadas publicamente pelos usuários. Contas privadas do Instagram, por exemplo, não poderiam ter sido incluídos na base. No entanto, Diachenko aponta que os dados estavam totalmente vulneráveis na Internet e poderiam facilitar a ação de criminosos. Em vez de visitar manualmente perfis de potenciais vítimas, a base lhes entregaria uma ferramenta de consulta pronta para aplicar filtros e segmentar alvos.

Embora a empresa tenha dito que a base de dados foi tirada do ar, o especialista da Comparitech diz ter encontrado pelo menos três outras cópias online. Não é possível afirmar, portanto, que os perfis estão protegidos. A Social Data e a firma de segurança que descobriu o vazamento não divulgaram detalhes sobre as contas que compunham o conjunto de informações expostas.

O que é raspagem ou coleta de dados web (web scrapping)

A raspagem web é uma técnica que envolve o uso de código de programação para automatizar a consulta e extração de dados de determinada página. Cientistas costumam usar o recurso para obter informações disponibilizadas publicamente, mas que são complexas demais para copiar de forma manual. Além disso, pesquisadores de Comunicação podem adotar a técnica para monitorar perfis de empresas e personalidades, como tweets e menções no Twitter.

Quatro dicas para proteger suas informações online

Quatro dicas para proteger suas informações online

O web scrapping é proibido pela maioria das redes sociais. Uma técnica parecida esteve no centro da polêmica da Cambridge Analytica, que diz ter usado perfis do Facebook para criar mapas comportamentais de eleitores americanos e influenciar nas eleições presidenciais de 2016. No entanto, a empresa de Mark Zuckerberg e demais do mesmo ramo têm dificuldade para barrar a prática pela dificuldade em distinguir robôs de pessoas reais.

Como se proteger

A raspagem web requer programar um robô responsável por visitar o perfil do alvo para coletar os dados. Embora a rede social possa bloquear essa movimentação, é possível que alguns bots escapem do filtro e acabem tendo acesso a contas públicas. Desse modo, a única forma de se proteger é manter o máximo de informações privadas.

No Facebook, é possível configurar todos os posts como “Apenas para amigos” e evitar que qualquer pessoa veja informações pessoais. No Instagram e no TikTok, é possível fechar a contar e só permitir acesso a seguidores autorizados. Já no YouTube, o usuário pode fazer com que playlists e inscrições não sejam visualizados publicamente.

O que dizem as empresas citadas

O TechTudo entrou em contato com as assessorias de imprensa das três empresas envolvidas, que condenaram a prática. A seguir, veja o posicionamento de cada plataforma.

Instagram:

Raspar informações de usuários do Instagram é uma violação clara de nossas políticas. Revogamos o acesso do Deep Social à nossa plataforma em junho de 2018 e enviamos uma notificação proibindo qualquer nova coleta de dados.

TikTok:

TikTok tem como maior prioridade a privacidade do usuário e a plataforma possui políticas anti-scraping em vigor. Nossos Termos de Serviço proíbem terceiros de rodar scripts automáticos para coletar informações da nossa plataforma, incluindo informações públicas dos perfis. Se identificarmos essas práticas, tomaremos medidas rápidas, incluindo a busca de reparação legal.

YouTube:

Os Termos de Serviço do YouTube proíbem explicitamente a coleta de dados que podem ser usados para identificar uma pessoa. No momento, estamos investigando o problema específico. Se for necessário, enviaremos à empresa Social Data uma notificação solicitando que suspenda a atividade de scraping ou outras providências.

Problemas para marcar amigos nos posts do Instagram? Veja como resolver no Fórum do TechTudo

Mais do TechTudo