2018-03-cambridge-analytica

# Cambridge Analytica - Escandalo de Dados Facebook (Marco 2018) > [!danger] O Vazamento que Redefiniu Privacidade Digital > Em 17 de marco de 2018, o New York Times e The Observer revelaram que a **Cambridge Analytica** havia coletado dados pessoais de **87 milhões de usuarios do Facebook** sem consentimento para fins de micro-targeting politico. O escandalo expoe como plataformas sociais podem ser exploradas como vetores de coleta massiva de dados pessoais - sem uma única linha de malware. Mark Zuckerberg testemunhou perante o Congresso americano e o Senado europeu. A crise acelerou a adocao do GDPR na Europa e influenciou diretamente a [[lgpd]] no Brasil. --- ## Attack Flow ```mermaid graph TB A["📱 App Academico Legitimo thisisyourdigitallife Aleksandr Kogan - Cambridge"] --> B["🔓 Coleta via API do Facebook Quiz app com permissoes amplas 270 mil usuarios diretos"] B --> C["🕸️ Harvest de Amigos API graph.facebook.com 87M usuarios sem consentimento"] C --> D["💾 Exfiltração para Cambridge Analytica Perfis psicograficos OCEAN Transferencia de dados proibida"] D --> E["🎯 Micro-targeting Politico Segmentacao por personalidade Campanha Trump 2016 e Brexit"] E --> F["📢 Propaganda Personalizada Facebook Ads direcionados Manipulação de opiniao publica"] F --> G["🌍 Impacto Democratico Brexit 2016 e eleicao Trump 87M usuarios afetados"] ``` --- ## Como Funcionou a Coleta O mecanismo central foi a **API Graph do Facebook** - amplamente acessivel a desenvolvedores terceiros antes de 2015. O pesquisador Aleksandr Kogan criou um aplicativo de quiz (`thisisyourdigitallife`) que solicitava permissao para acessar dados do perfil dos usuarios. Ao aceitar, o app coletava nao apenas os dados do proprio usuario, mas também os dados de **todos os seus amigos** na plataforma - sem qualquer consentimento desses terceiros. Esse mecanismo, chamado de **Friends API**, era parte intencional da plataforma do Facebook. Aproximadamente 270.000 usuarios baixaram o app voluntariamente; os dados de seus amigos multiplicaram o alcance para **87 milhões de pessoas**. Kogan transferiu esses dados para a [[cambridge-analytica]], violando os termos de servico do Facebook - o que o proprio Facebook soube e ignorou por anos. A Cambridge Analytica utilizou os dados para construir **perfis psicograficos OCEAN** (Openness, Conscientiousness, Extraversion, Agreeableness, Neuroticism) de eleitores americanos e britanicos, vendendo servicos de micro-targeting politico baseados nesses perfis. --- ## Dimensao do Impacto O escandalo desencadeou consequencias em multiplas camadas: **Regulatorio:** - O **GDPR** (General Data Protection Regulation) europeu, aprovado em 2016 mas efetivo em maio de 2018, ganhou urgencia. O escandalo funcionou como válidação publica da necessidade da regulação - No Brasil, a **[[lgpd]]** (Lei Geral de Proteção de Dados) foi aprovada em agosto de 2018 - diretamente influenciada pela atmosfera criada pelo escandalo - O ICO (Information Commissioner's Office) do Reino Unido multou o Facebook em £500.000 (máximo permitido a epoca) **Financeiro e Reputacional:** - Acao do Facebook caiu 10% em 2 dias - US$ 37 bilhoes em valor de mercado - O movimento **#DeleteFacebook** ganhou tela global - Cambridge Analytica declarou falencia em maio de 2018 **Juridico:** - Zuckerberg testemunhou 10h no Senado americano e 5h na Camera dos Representantes - Multa do FTC contra o Facebook: **US$ 5 bilhoes** (2019) - maior da historia contra empresa de tecnologia - Investigacoes em Reino Unido, EU, Canada, Brasil e Australia --- ## Relevância para o Brasil O Brasil foi um dos paises mais afetados fora dos EUA e Reino Unido. A Cambridge Analytica e sua empresa-mae SCL Group prestaram servicos a campanhas politicas brasileiras. O escandalo coincidiu com o ciclo eleitoral de 2018 e intensificou debates sobre uso de dados em campanhas digitais. A [[anpd]] (Autoridade Nacional de Proteção de Dados) foi criada em 2019 em resposta direta ao ambiente regulatorio moldado pelo caso Cambridge Analytica. O [[cert-br]] e o Ministerio da Justica monitoraram o caso de perto. A [[lgpd]] estabeleceu bases para investigacoes similares no Brasil - qualquer coleta de dados sem base legal e consentimento explicito tornou-se ilegal. --- ## Licoes para CTI Este evento demonstra que **ameaças a dados pessoais nao requerem vulnerabilidades técnicas**. A exploração de APIs legitimas com permissoes excessivas e uma superficie de ataque critica para dados. Organizacoes devem auditar: - **Permissoes de OAuth** concedidas a aplicativos de terceiros - **Politicas de acesso API** a dados de usuarios e clientes - **Monitoramento de exfiltração** via canais legitimos (DLP) - **Consentimento e base legal** para cada fluxo de dados pessoais --- ## Cronologia do Incidente | Data | Evento | |------|--------| | 2014 | Kogan desenvolve quiz e coleta dados via Friends API | | 2015 | Facebook descobre transferencia de dados para Cambridge Analytica; exige delecao | | Jun 2016 | Brexit - primeiras suspeitas de micro-targeting com dados | | Nov 2016 | Eleicao de Trump - Cambridge Analytica alega papel central | | Dez 2015 | Guardian pública primeiro artigo sobre Cambridge Analytica | | Mar 2018 | NYT/Observer públicam investigação completa - escandalo explode | | Abr 2018 | Zuckerberg testemunha no Congresso americano | | Mai 2018 | Cambridge Analytica declara falencia | | Ago 2018 | LGPD aprovada no Brasil | | Jul 2019 | FTC multa Facebook em US$ 5 bilhoes | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Regulação BR | [[lgpd]] - Lei Geral de Proteção de Dados | | Autoridade BR | [[anpd]] - Autoridade Nacional de Proteção de Dados | | Regulação EU | GDPR (General Data Protection Regulation) | | Técnica MITRE | [[t1530-data-from-cloud-storage]] - coleta de dados em plataforma | | Técnica MITRE | [[t1213-data-from-information-repositories]] - exfiltração via API | | Setor Afetado | [[technology]] - plataformas sociais | | Evento relacionado | [[2022-02-conti-leaks]] | --- > [!info] Navegacao - Eventos Relacionados > [[2022-02-conti-leaks]] | [[2020-07-twitter-hack]] | [[lgpd]] | [[_timeline]]