Introdução
O que você faria se soubesse que as imagens que você posta na rede Facebook e apaga não foram efetivamente apagadas? Sim você já imaginava, mas não tinha provas. Pois é, notificamos o Facebook, que nos disse que é “normal” e uma característica da Internet. Ora, se é tão “normal” assim, decidimos compartilhar com todos para que tomem suas precauções. Particularmente não achamos normal. Pesquisa realizada por mim (José Antonio Milagre) juntamente com o especialista em Segurança da Informação Ewerson Guimarães (Crash)
Marco Teórico
Embora algumas publicações internacionais afirmassem esta possibilidade de persistência das fotos, no passado (desde 2009), as mesmas também diziam que o FB estaria cooperando para corrigir as falhas (não é o que nos disse). Se antigamente imagens permaneciam por anos, hoje permanecem por dias, com certeza. As publicações existentes não informavam como alguém poderia pegar o link direto para as imagens ou qual o risco da exploração criminosa desta “mancada”. Avançamos neste sentido para mostrar que nada foi feito pelo facebook e que o crime já conhece esta “falha”.
Descrição
Você não tem direito de apagar definitivamente suas fotos no Facebook. Você não tem direito a se arrepender. No presente documento mostraremos com recuperar imagens apagadas no Facebook.
Para que uma imagem possa ser recuperada é necessário que quem a postou e posteriormente excluiu seja seu amigo e que você tenha configurado para “Obter Notificações”, sempre que esta pessoa postar algo. (Uma App também resolve) Assim, sempre que postar você receberá um informativo em sua barra superior do seu Facebook.
Quando alguém é seu amigo e posta uma foto no Facebook, ela aparece nas suas notificações. Porém se quem postou se arrependeu, e imediatamente apagar a foto, ao clicar na notificação, o usuário depara-se com a seguinte informação “Este conteúdo não está mais disponível”.
Porém na notificação do usuário é possível ver uma “miniatura” da imagem que foi postada. É preciso ser rápido pois o Facebook não te permite acessar uma infinidade de Notifications (https://www.facebook.com/notifications) .
Se a postagem de uma imagem já apagada ainda está em seu “Notifications”, é possível clicar com o botão direito sobre a miniatura, e no menu que surgir, clicar em “inspecionar elemento”. No código html que surgir é possível coletar um link externo, onde incrivelmente, a imagem estará lá, ainda que em um formato menor.
Este link corresponde a miniatura da foto postada e apagada. Assim, mesmo que a postagem saia da sua “Notifications”, você poderá resgatar a imagem postada diretamente através deste link interno do Facebook, mesmo não estando logado. A terminação do arquivo de imagem _s.jpg pode ser alterada para _b.jpg que significa “exibir imagem grande”. Na verdade, quando se apaga uma foto postada, o Facebook remove, “imediatamente” apenas as fotos grandes, com terminação “_b”, mantendo em seu servidor uma cópia da foto “_s”, diga-se, pequena e uma “_a”, que é um pouco maior, Exemplo (já estão fora do ar):
http://photos-g.ak.fbcdn.net/hphotos-ak-frc/5541_385948884856769_689161466_b.jpg
(será “apagado”)
http://photos-g.ak.fbcdn.net/hphotos-ak-frc/5541_385948884856769_689161466_s.jpg
(permanecerá por dias)
http://photos-g.ak.fbcdn.net/hphotos-ak-fr/5541_385948884856769_689161466_a.jpg
(permanecerá por dias)
Em nossos testes, a imagem apagada permaneceu no link por mais de 7 (sete) dias, podendo ser resgatada facilmente. O usuário não precisa estar logado para acessar as imagens.
Embora não tenha boa resolução, tal imagem que fica “esquecida” dos servidores do Facebook, pode ser útil em um procedimento forense, onde se precisa apurar se o usuário realmente postou uma foto e qual era o teor da fotografia postada. Embora seja uma imagem pequena, ela se apresenta “completa”, diferente das que aparecem em “Notifications” e podem provar que efetivamente o usuário postou determinada imagem, que pode violar direitos. É fato, então, que o Facebook não apaga fotos em postagens que usuário removeu, definitivamente.
Nos testes que realizamos, com browser safari, o link manteve a foto “small”, por mais de uma semana após a exclusão. Ou seja, de fato esta “falha” (se é que pode ser chamada) permite que usuários tenham acesso a fotos apagadas em sua miniatura. Não existe o direito de apagar, não existe o direito ao esquecimento. Se postou e se arrependeu segundos depois, alguém a qualquer momento, poderá resgatar o postado. O desafio é: Um aplicativo pode ser criado, por exemplo, para ler os links, alterar os números (sequencias) que compõem o nome da imagem e ir recuperando grande quantidade de informações (imagens) apagadas. Repetimos, é um desafio, pois como é composta a sequencia numérica que informa o nome da imagem, ainda é uma incógnita.
Porém identificamos em casos de Paginas, que o nome da imagem é composto pelo FBID (logo pesquisando no google pelos links soltos, posso eventualmente associar a um objeto do Facebook:
Um “bot vigilante” poderia salvar indiscriminadamente imagens no disco.
Vale dizer que só funciona para imagens. E que não testamos com textos ou mensagens.
Em outros testes ainda, realizados com o Safari e Firefox, quanto se clica pela primeira vez em uma postagem em “Notifications”, que tem uma imagem já deletada, a mesma aparece na tela por um lapso de tempo (menor que 1 segundo), antes de ser substituída pela mensagem de “Este conteúdo está atualmente indisponível”, o que permite um rápido “PRINT SCREEN” da imagem que já foi deletada, em formato grande!
Da revelação responsável
Logicamente que notificamos primeiramente o Facebook, criando inclusive contas de testes de segurança, porém nos surpreendemos com a resposta, in verbis:
Due to how the internet operates, it is not always possible to retroactively prevent a person from accessing a photo after it has been delivered to their computer. It might have been saved locally, stored in their temporary internet files, or temporarily cached in a nearby content delivery network. These factors prevent us from retroactively restricting access to this data. We make a best effort to achieve this, but it is not foolproof. Your report describes one of the scenarios that we do not have any control over.
Thanks for taking the time to report this issue, and please let us know if you have any additional questions.
Para o Facebook “Seu relatório descreve um dos cenários que nós não temos nenhum controle sobre”. Bem diferente das respostas que dá a mídia internacional, mais detalhada e com mensagens no sentido de que “estão trabalhando” nisso. Pelo visto, não estão preocupados com a privacidade de Brasileiros. Ou seja, posto uma imagem restrita para amigos, ainda assim apago, e um link externo manterá cópia em miniatura da imagem, para amigos ou para inimigos, de acesso público! E o Facebook nada pode fazer?
Posto uma foto erroneamente, apago ela nos segundo seguinte, mas o Facebook mantém um link com ela, para quem quiser pegar. É normal? Porque então temos botões “EXCLUIR”, se eles, efetivamente, não funcionam?
Isto viola a privacidade dos cidadãos que tem o direito de remoção de dados que postaram, e a garantia de que não serão recuperados. Assim, alguém que posta por engano e apaga, pode ver terceiros recuperarem o conteúdo. Tal fato pode ser usado para pratica de cibercrimes. Sim, os termos do facebook preveem todas estas questões, mas não significa dizer que se confrontados com a lei, possam ser considerados válidos.
Em Fã Page é mais grave
O mesmo vale para Fan Pages de qualquer natureza. Quando você posta uma imagem em uma Fan Page e apaga, a imagem poderá ser resgatada pelo link externo do Facebook, bastando exibir o código fonte. (O que pode ser feito se você recebe notificações). Porém neste caso temos uma agravante, pois ao contrario de posts em perfil, no caso de Página o Facebook guarda a imagem em tamanho grande “_n” e por tempo indeterminado.
A má noticia é que muitos criminosos no Brasil já descobriram esta mancada da rede social, assim, diante de uma página Racista, por exemplo, que é denunciada, existe a remoção, porém o Facebook remove só a página, e as imagens ofensivas continuam acessíveis nos links. Então os criminosos compartilham os links e logo as imagens são republicadas.
Em fóruns fechados crackers trocam os links “akamaihd” que eternizam imagens ofensivas, relativas a crimes de ódio, xenofobia e até mesmo pornografia. Troca-se inclusive mensagens ocultas por meio de imagens “apagadas”. O Facebook facilita a vida do criminoso pois agora este tem uma imagem hospedada em seus servidores, ofensiva e eternizada, bastará compartilhar o link e sequer poderá ser responsável, pois para todos os efeitos “nunca postou”, as imagens já estavam no facebook! Quem será o responsável por uma foto envolvendo preconceito racial postada há 5 anos e replicada hoje, nestes casos?
Resultado: Quando o Facebook recebe uma denúncia, pode até deletar as páginas, mas não faz nada em relação as imagens ofensivas, servindo de hospedagem para o criminoso, que poderá reiterar suas atividades e compartilhar os links, prejudicando a aplicação da Lei.
Imagine outro caso de uma decisão judicial que determina que o Réu remova as imagens ofensivas do Facebook sob pena de multa diária. O autor da ação, coletando os links em perícia prévia, poderá demonstrar que o Réu não apagou nada! Na verdade, quem postou não tem como deletar a ofensa, pois o Facebook não deixa! Vá explicar para um Juiz! E o Facebook acha tudo normal!
Em pesquisas via Google é possível rapidamente encontrar links, como no exemplo onde uma pessoa vítima de um suposto homicídio foi fotografada morta. A postagem não existe mais, mas a foto…Está lá… no Facebook que “ninguém vê”…
Isso é grave?
Vamos a prática (Prova de conceito – Apenas de Postagem já que para Fan Page é o mesmo procedimento)
1) O usuário que você assinou para “Obter notificações” postou uma foto:
2) No segundo seguinte ele se arrependeu, ou postou foto errada, e correu para apagá-la. Quando você clicar nas notificações para ver a foto, verá a mensagem de conteúdo “indisponível”:
3) Mas será que ele está indisponível? Assim que clicar nas notificações aperte o PRINT+SCREEN no teclado, agora cole em algum programa e veja isso com seus olhos:
4) Bom, mas suponhamos que você viu a notificação muito tarde, e o passo acima não está funcionando. Clique então com botão direito bem em cima da imagem que apareceu nas notificações e mande “inspecionar elemento”. (Isso pode variar de browser para browser). Verifique um link externo de uma imagem. Copie este link:
5) Cole agora este link na barra de endereços do seu navegador, mesmo estando offline… e…
6) Se quiser uma imagem “um pouco maior”, altere o “s” do nome da imagem para “a”, e veja isso!
Em Fan Page, altere para “n” e verás a imagem grande que fora apagada! Em síntese, a imagem que foi apagada, podendo ser recuperada e mantida indefinidamente pelo Facebook, por um bom período após a exclusão.
Conclusões
Não temos direito a excluir definitivamente imagens que postamos em nossa timeline. De alguma forma elas persistem, por um bom tempo após a exclusão. Agora, imagine os problemas que esta falha pode gerar as pessoas. Testes realizados entre 23/07/2013 e 19/08/2013. Como visto, não deixa de ser uma negligência da rede e alertamos que o Facebook tem condições de aprimorar e conceber um mecanismo mais adequado aos usuários, evitando dissabores e exposição indevida de dados. Fizemos também em português para que mais pessoas do Brasil tenham acesso e tomem consciência dos riscos, pressionando a rede para a adoção de providências. Continuaremos pesquisando.
Fonte: JoseMilagre
0 comentários:
Postar um comentário