Em outubro, os desenvolvedores de aplicativos Tommy Mysk e Talal Haj Bakry descobriram um risco de privacidade e segurança nas plataformas de mensagens privadas do Facebook. Sempre que um usuário compartilhava um link no Facebook Messenger ou em um DM no Instagram e uma visualização do link era gerada, os dados desse link eram baixados para os servidores do gigante das mídias sociais.

De acordo com Mysk e Bakry, isso ocorria mesmo se o site vinculado contivesse muitos gigabytes de dados. "Os servidores do Facebook baixam o conteúdo de qualquer link enviado pelo Messenger ou Instagram mensagens diretas", escreveram Mysk e Bakry em seu relatório. "Podem ser contas, contratos, registros médicos ou qualquer coisa que possa ser confidencial."

Não é incomum que os usuários compartilhem links por meio de plataformas de mensagens privadas que incluem dados potencialmente confidenciais ou conteúdo sensível. Mas por que o Facebook precisa baixar esses dados, especialmente muitos gigabytes de dados, de cada link compartilhado no Messenger ou em um DM do Instagram?

Mysk e Bakry entraram em contato com o Facebook originalmente para relatar o que descobriram, presumindo que foi um resultado inadvertido. No entanto, apenas esta semana, os dois desenvolvedores descobriram um atualização interessante, o Facebook desativou completamente as visualizações de link no Facebook Messenger e no Instagram, mas apenas na Europa.

Sabe aquele link que você enviou para um contato privado? O Facebook fez download de tudo!

Por quê? A empresa precisava removê-los para cumprir as robustas leis de privacidade online da União Europeia. Baixar e armazenar os dados em links compartilhados pelos usuários viola essas leis. As visualizações de link, caso você não esteja familiarizado, são aquelas pequenas miniaturas, títulos de páginas e descrições geradas automaticamente que aparecem quando um usuário cola um link nas plataformas do Facebook.

"Parar este serviço na Europa sugere fortemente que o Facebook pode estar usando esse conteúdo para outros fins que não a geração de visualizações", afirmam os desenvolvedores. Em seus relatório original, Mysk e Bakry também analisaram como outras plataformas online importantes, como Twitter, Slack e Discord, lidavam com as visualizações de links.

O Facebook e o Instagram foram os únicos a baixar gigabytes de dados de cada link. A maioria das outras plataformas baixou no máximo 50MB para gerar as informações necessárias para a visualização do link.

Como os dois desenvolvedores apontaram, o Facebook anunciado em dezembro de 2020, que estaria fazendo alterações em suas plataformas devido ao Diretiva de privacidade eletrônica. No entanto, no momento do anúncio, o Facebook não especificou exatamente quais seriam essas mudanças.

"Entramos em contato com o Facebook em setembro de 2020 sobre o que pensávamos ser um problema de privacidade (e potencialmente um bug sério) e eles basicamente descartaram nossas preocupações", afirma Mysk e Bakry. O Facebook disse aos dois que o recurso estava "funcionando conforme o esperado".

É importante notar que o Facebook ainda está gerando visualizações de links e baixando todos os dados das páginas vinculadas em todos os lugares fora da União Europeia. Portanto, da próxima vez que você compartilhar um link e não estiver na Europa, lembre-se de que o Facebook está pegando o que você compartilhou achando que está seguro em um papo privado e armazenando os dados em seus servidores.