O escritório do procurador-geral de Nova York anunciou na semana passada que lançou uma investigação sobre a coleta de 1,5 milhão de endereços de e-mails dos usuários do Facebook sem o consentimento deles.

No início deste mês, um pesquisador de segurança havia notado que o Facebook estava pedindo a alguns novos usuários suas senhas de e-mail quando se inscreveram: o que ele chamou de “uma ideia HORRÍVEL do ponto de vista de segurança da informação”…

… particularmente de uma empresa que manipulou incorretamente as senhas que usamos na autenticação de dois fatores (2FA) e que salvou centenas de milhões de senhas de usuários em disco de forma crua e não criptografada.

Mas o Facebook não estava apenas pedindo senhas de e-mail de novos usuários, a empresa iria admitir: também estava sugando seus contatos, mostrando uma mensagem dizendo que a plataforma estava “importando” seus contatos sem pedir permissão primeiro, nem oferecer qualquer maneira para os usuários cancelarem o processo.

O Facebook admitiu que “carregou involuntariamente” 1,5 milhão de bancos de dados de contato de novos usuários do Facebook desde maio de 2016. Mas, como notado em um comunicado divulgado na quinta-feira pelo procurador-geral de Nova York, Letitia James, o número de e-mails enviados para esse filtro as barbatanas são obrigadas a ser de magnitude maior, como em centenas de milhões, uma vez que as pessoas afetadas poderiam ter centenas, se não milhares, de contatos em seus bancos de dados de contato.

Enquanto o Facebook afirma que 1,5 milhão de bancos de dados de contatos foram diretamente coletados por seu processo de verificação de senha de e-mail para novos usuários, o número total de pessoas cujas informações foram obtidas de forma inadequada pode ser de centenas de milhões.

Bem, não é apenas típico, disse AG James. É apenas a mais recente demonstração de como o Facebook “não leva a sério seu papel na proteção de nossas informações pessoais”, disse ela, que adicionou…

É hora de o Facebook ser responsabilizado pela forma como trata as informações pessoais dos consumidores.

Coloque-o no topo da pilha de “repercussões legais”

Ela não está sozinha nessa crença: o Facebook está antecipando que um acordo próximo com a Federal Trade Commission (FTC) sobre o manuseio de privacidade de dados do usuário pode chegar a 5 bilhões de dólares. Reguladores canadenses disseram na semana passada que eles também acreditam que o Facebook quebrou a lei e planeja levar a empresa ao tribunal para forçá-la a mudar suas práticas.

A Irish Data Protection Commission (Comissão irlandesa de proteção de dados, em tradução livre) também disse na semana passada que está investigando o Facebook sobre a questão das senhas de usuários armazenadas em seus servidores internos em formato de texto simples.

“Não intencional” (talvez ilegal), mas ótimo para a segmentação de anúncios.

Colocar as mãos nesse vasto emaranhado de e-mails é ótimo para o negócio principal de segmentação de anúncios do Facebook, além de expandir sua já vasta rede de conexões sociais. Mas poderia ter quebrado uma série de leis de privacidade, dizem alguns.

Especialistas disseram ao Business Insider que a coleta das listas de contatos de 1,5 milhão de usuários possivelmente violaria um decreto de consentimento de 2011 entre o Facebook e a Federal Trade Commission (FTC), o Regulamento Geral de Dados de Proteção da UE (GDPR) e potencialmente até a Fraude de Computadores. e Abuse Act (CFAA).

Um porta-voz do Facebook se recusou a comentar sobre a legalidade das ações da empresa quando o Business Insider perguntou.

A investigação

Duas pessoas informadas sobre a investigação do NY AG disseram ao New York Times que “se concentrarão em como surgiu a prática de importação de listas de contatos e se ela se espalhou para centenas de milhões de pessoas na rede social”.

Depois de uma reação furiosa, pouco depois de a imprensa ficar sabendo da prática, o Facebook disse que parou de pedir por senhas de e-mail de novos usuários e parou de importar suas listas de contatos. Na semana passada, ele disse aos meios de comunicação que estava em contato com o escritório da NY AG James e respondia a perguntas sobre o assunto.

Com informações dos parceiros da Naked Security, um blog da Sophos.