hisham hm

Descoberta do dia: o site do Banco do Brasil compartilha cada clique seu com o Facebook

Observação: como o texto abaixo claramente já explicava, um título mais tecnicamente correto seria: “o site do Banco do Brasil compartilha cada link que você acessa nele com o Facebook” (ou seja, cada clique que solicita uma nova página), não absolutamente cada clique do mouse.

Updates: recebi o contato do Banco do Brasil e o problema já foi resolvido, ver no final.


Porra, Banco do Brasil! Quando eu vi aquela “aba” com o logo do Facebook dentro do site seguro do banco, logo pensei que seria uma coisa muito idiota carregar material do site do Facebook de dentro da conexão segura com o banco. Fiquei com raiva do Banco sequer oferecer essa opção pras pessoas.

Aí fui verificar as conexões que o site já faz quando carrega… e lá estava (ver imagem). O site uma requisição ao domínio facebook.com de dentro do site do BB a cada página que eu acesso.

(Sim, e o facebook.com responde com “no-cache” pra garantir que o arquivo não seja armazenado temporariamente, pra se certificar que eles são notificados a cada link que eu clico no site.)

Que lindo. Mesmo se eu NÃO clicar na abinha Facebook, o Facebook é informado que eu (porque eles já sabem o meu IP afinal então cruzar com os hits via BB é trivial) acabei de pedir pra ver meu extrato. (O BB aparentemente não é tão burro a ponto de enviar os dados da página pro Facebook, mas é burro a ponto de enviar a URL (Referer ali na imagem), através da quel dá pra descobrir quais as operações realizadas — cada fundo de investimento tem uma URL diferente, por exemplo.)

Primeiro eu achava esse site novo do BB só feio. Aí eu tentei usar e vi que tem pior usabilidade. Agora eu descobri que é menos seguro. Sabe-se lá o que mais de tosco ele faz.

Clientes de internet banking do BB: a alternativa mais simples é clicar em “Versão Anterior” no topo da página (eu verifiquei e ela não faz hits para facebook.com). É um paliativo enquanto o BB não tira a versão antiga do ar, pelo menos! Ainda assim o Facebook fica sabendo a cada vez que você loga, porque precisa entrar no site novo uma vez pra clicar no “Versão Anterior”.

Uma opção melhor é instalar o Adblock Plus, apertar Ctrl+Shift+V na página do Banco do Brasil, achar o item do facebook.com na lista, clicar com o botão direito e marcar “Block this Item”.

Sério, pra onde eu tenho que gritar pra que o Banco do Brasil conserte isso?


Update: 07/mar/2014 16:08: Depois de trocar algumas mensagens via Twitter, um representante do Banco do Brasil me ligou. Foi bastante solícito. Disse que o departamento de TI deles estava conferindo a situação desde ontem e que hoje deve entrar no ar uma versão nova com a integração com o Facebook “temporariamente desligada”. Disse também que mais adiante eles vão ver como fazer isso da forma certa. Ao meu ver não deveria ter integração nenhuma, mas no mínimo que não haja integração pra quem não peça explicitamente por ela. Pelo visto o problema vai ser consertado mesmo. Valeu a todos que compartilharam!

Update 2: 07/mar/2014 18:00: E acabo de conferir no site e o problema já foi resolvido! Valeu!


  1. anononimomo

    Friday, March 7, 2014 - 05:17:51

    Rapaz, cuidado com o que você afirma. Embora não tenha motivos pra defender nenhum banco, eu não sou a favor de espalhar um hoax por aí.

    Dê uma olhada sobre HTTP, GET e no-cache na Wikipedia. Observe também que a única requisição feita pro Facebook (JSON) obtém apenas a sua foto. De onde você tirou/deduziu que absolutamente todo clique de mouse vai parar no colo do Zuckerberg?

  2. gabi

    Friday, March 7, 2014 - 15:09:10

    desde quando wikipedia é uma fonte de informação confiável?

  3. Eduardo

    Friday, March 7, 2014 - 15:09:41

    Existe um plugin chamado Disconnect, você baixa para a maioria dos navegadores, ele impede que a navegação seja rastreada, quando você escolhe isso.

    É bem útil.

  4. Luiz Tiago Alves de Oliveira

    Friday, March 7, 2014 - 16:29:30

    Ele pode pegar pelo HTTP Rererer.

    Excelente post. Não sabia como isso tava tão ridículo!

  5. Luiz Yamada

    Friday, March 7, 2014 - 16:53:50

    Posso estar enganado mas como os usuários estão navegando em ambiente seguro (https) creio que o facebook não conseguirá pegar as informações via HTTP Referer.

  6. hisham

    Friday, March 7, 2014 - 20:46:17

    anononimomo, sim, conforme o texto explica não é “absolutamente todo clique do mouse”, mas sim a URL de cada link acessado. Mas valeu, botei uma nota ali no topo explicitando isso.

    Luiz Yamada, bom, segundo o Firefox ali, o Referer está sendo enviado. Pela documentação da RFC 2616, o referer não deve ser enviado quando a requisição é de HTTP para HTTPS, mas não fala nada de HTTPS para HTTPS, e pelo que indica o Firefox, o header está sendo enviado.

    https://tools.ietf.org/html/rfc2616#section-15.1.3

  7. Raphael Neumann

    Friday, March 7, 2014 - 21:09:19

    Man, concordo com o anonimo do primeiro comentário, essas requisições existem mais são completamente irrelevantes, o URL so é passado pois está no cabeçalho da requisição no demais, qualquer informação que possa ser extraída, demanda um processamento alto considerando o altíssimo numero de requisições e a informação obtida e extremamente irrelevante… Bom minha opinião melhor explicada e defendida (http://principiodaincerteza.com.br/2014/03/07/porque-a-requisicao-ao-facebook-pelo-banco-do-brasil-nao-representa-nenhum-tipo-de-falha-ou-vazamento-de-informacoes/)

  8. hisham

    Monday, March 10, 2014 - 22:34:51

    Raphael, postei respostas às suas observações na seção de comentários do seu blog! (Para quem chegou aqui, recomendo ir lá e ler!)

  9. JUCIMONE

    Monday, March 24, 2014 - 00:52:44

    Amigo acho um absurdo o BB fazer isso sem a nossa autorização, colocar uma aba do face o quaisquer outro link. Pois aquela página é praticamente nossa conta aberta, então não tem que ter link nenhum. E outra acessei minha conta antes de ontem e a aba do facebook continua lá. Seriamente pensando em solicitar ao BB o cancelamento desse serviço internet banking. Obrigada pela sua atenção em revelar isso a todos.

  10. Fabio

    Sunday, March 30, 2014 - 22:43:06

    Independente do BB, duas coisa que eu faço a bastante tempo no meu Firefox para que “nenhum” site envie info para o FB:

    1. Em privacidade, ativar a opção para não aceitar cookies de terceiros.
    2. Adicionar um filtro manualmente para o FB no Ad Block, eu tenho este aqui que eu não lembro de onde eu tirei: ||facebook.*$domain=~facebook.com|~127.0.0.1

    Aparentemente hoje o próprio Ad Block já tem uma lista atualizada (Fanboy’s Social Blocking List) para remover o FB e outras coisas sociais!

    https://easylist.adblockplus.org/en/

  11. Fabio

    Sunday, March 30, 2014 - 22:59:35

    Fiz alguns testes aqui e infelizmente mesmo com o Fanboys informações são enviadas para o FB, logo não substitui o filtro manual.

    http://www.dhcollier.com/2010/05/disabling-facebook-connect-on-non.html

    Seria bom saber se o FB utiliza outros domínios para coletar informações.

  12. Fabio

    Sunday, March 30, 2014 - 23:02:29

    Segundo o Ad Block, este filtro impediu que o meu PC enviasse 17.000 requisições para o FB :-)

  13. Fabio

    Sunday, March 30, 2014 - 23:27:56

    Achei uma lista Anti-FB equivalente ao fitro manual.

    https://www.fanboy.co.nz/

    https://www.fanboy.co.nz/fanboy-antifacebook.txt

Add comment

Fill out the form below to add your own comments.

CAPTCHA imageReload imageAudible version of CAPTCHA-image