Quando você usa um serviço de mensagens como o Facebook Messenger, você tem uma expectativa razoável de que o que você diz ali é privado e seguro. Mas devido a um "truque" em como o Facebook lida com certas partes de informação, quase qualquer pessoa que sabe como usar o API do Facebook consegue ver links que usuários enviaram via Facebook Messenger.
Em um post publicado no medium, o pesquisador de segurança Inti De Ceukelaire explica como ele conseguiu ver links privados compartilhados entre usuários usando a ferramenta crawler da API do Facebook. A crawler é usada para obter detalhes sobre um endereço URL para apresentá-las da forma como você normalmente as visualiza no Facebook, ou seja, com links com título, descrição e imagem.
Sem ficar muito técnico, todo link que você compartilha (assim como tudo que qualquer pessoa já compartilhou no Facebook) conta com um número de identificação atribuído a eles. Como o De Ceukelaire observa, “não há nada de errado com isso. Pelo menos quando os dados são mantidos secretos”.
De Ceukelaire testou para ver se ele conseguia buscar por itens através desses números de identificação usando as ferramentas de API do Facebook. E enquanto ele teve erros de “acesso negado” na maioria dos casos, ele descobriu que ele acessaria links compartilhados no Facebook dessa forma.
Essas URLs incluíam links para desde vídeos de gatos, documentos privados do Google, fotos e histórias. Vale ressaltar que, entretanto, apesar de mostrar os links não era possível ver quem havia enviado eles.
Quando o desenvolvedor contactou o Facebook a respeito do problema, a companhia respondeu que esta é a forma como a ferramenta crawler funciona, e o processo é intencional.
Mesmo que as chances sejam relativamente baixas de que um link em particular que você tenha compartilhado seja encontrado dessa forma, o Facebook tem mais de 1 bilhão de usuários ativos diariamente – o fato de que qualquer link que você compartilha na rede social possa ser achado de forma aleatória não é uma boa notícia, convenhamos.