O responsável pela descoberta foi o cofundador da empresa de cibersegurança Hudson Rock, Alon Gal. Foi encontrado um bot no Telegram que divulga e vende número de telefone de usuários do Facebook em troca de dinheiro.
Os dados foram anunciados em um fórum de crimes virtuais localizado na internet comum, e não na deep web, o que colabora para a gravidade da situação. Afinal, a possibilidade de encontrar o fórum e o bot através de uma pesquisa no Google aumenta a quantidade de pessoas que podem ter acesso e comprar os números de telefone.
O uso do bot é especialmente simples. Ele permite encontrar o número de celular por meio de seu Facebook ou, inversamente, a página do Facebook a partir do número de telefone. As duas opções custam o mesmo valor: um crédito, que pode ser comprado por US$ 20 (ou cerca de R$ 100). Uma alternativa é optar pelos descontos comprando mais créditos. Digamos que alguém queira comprar 10 mil créditos, para saber 10 mil números diferentes de celular. Nessa situação, o preço por número cai para apenas cinquenta centavos de dólar (equivalentes a quase R$ 3)!
“Enorme impacto na privacidade”
Os dados parecem ser fruto do vazamento de dados do FB de 2019, que revelou números de telefone de mais de 533 milhões de usuários de todo o mundo. Embora a vulnerabilidade que permitia acesso aos números de celular tenha sido removida pelo Facebook, Gal afirma que a situação é preocupante, tendo “enorme impacto na privacidade”.
A correção da vulnerabilidade foi implementada em agosto de 2019, o que significa que nenhum usuário que cadastrou seu número de celular após essa data foi afetado. Mas significa também que muitos dos que vincularam seus celulares ao Facebook antes da data têm seus números de telefone na base de dados vendida pelo bot. E não é nem questão de ser esperto, porque mudar um número de telefone nào é como mudar uma senha. Muito provavelmente, o seu número continua lá.
E isso tem consequências. Conhecendo os dados do perfil do Facebook com o número, um criminoso experiente poderia usar de engenharia social para chantegear ou roubar informações de alguém. Por exemplo, golpistas surpreendem as vítimas lembrando nomes de pessoas da família ou situações que a pessoa passou, dando a impressão que estão perseguindo a vítima a tempos. Quando tudo está a poucos toques.
Via The Verge e The Motherboard
Foto: Sora Shimazaki/Pexels/CC