Funcionário da Meta criou um programa pra roubar 30 mil fotos privadas de usuários do Facebook

Um engenheiro da Meta em Londres criou um script para contornar os sistemas de segurança interna do Facebook e baixou cerca de 30 mil fotos privadas de usuários. A informação veio à tona nesta semana e não deixa espaço pra interpretação: não foi acesso acidental. Foi um programa feito sob medida pra burlar as proteções da empresa.

Vamos ao que se sabe.

O que aconteceu

O engenheiro - cujo nome não foi divulgado - trabalhava no escritório da Meta em Londres quando desenvolveu um software específico para driblar os sistemas de detecção internos do Facebook. Com essa ferramenta, ele conseguiu acessar e baixar aproximadamente 30 mil imagens privadas de usuários. Não se sabe exatamente que tipo de fotos foram baixadas, mas o fato de serem privadas - configuradas para não serem públicas - torna tudo mais grave.

A Meta afirma ter descoberto a brecha há mais de um ano, o que coloca a detecção em algum momento antes de abril de 2025. O funcionário foi demitido imediatamente e os usuários afetados foram notificados. A empresa encaminhou o caso para as autoridades.

A investigação

A unidade de crimes cibernéticos da Polícia Metropolitana de Londres está cuidando do caso. O engenheiro foi preso em novembro de 2025 e está em liberdade sob fiança, com obrigação de se apresentar à polícia em maio de 2026. Ele também precisa avisar as autoridades caso pretenda viajar para fora do país.

O comunicado oficial da Meta tenta passar tranquilidade: “Proteger os dados dos usuários é nossa maior prioridade. Após descobrir o acesso indevido por parte de um funcionário há mais de um ano, imediatamente demitimos o indivíduo, notificamos os usuários, encaminhamos o caso às autoridades policiais e reforçamos nossas medidas de segurança.”

Bonito na teoria. Na prática, um funcionário da empresa criou uma ferramenta inteira pra roubar dados dos próprios usuários e a empresa só descobriu depois.

O problema de verdade

O caso expõe algo que a indústria de tecnologia prefere não discutir: a ameaça interna. A gente passa o dia todo se preocupando com hackers externos, ataques de phishing, malware, e esquece que as pessoas com acesso mais irrestrito aos nossos dados são os próprios funcionários dessas empresas.

A Meta tem 67 mil funcionários. O Facebook armazena bilhões de fotos. Os sistemas de proteção internos, que deveriam impedir exatamente esse tipo de abuso, foram burlados por um único engenheiro com conhecimento suficiente pra escrever um script. Se ele conseguiu, quantos outros poderiam?

Não é a primeira vez que a Meta aparece em notícias sobre falhas massivas de privacidade. Em janeiro, um vazamento no Instagram expôs dados de 17,5 milhões de usuários. E essa semana também descobrimos que o LinkedIn escaneava extensões do Chrome sem avisar ninguém. O padrão é claro: as Big Techs pedem acesso a tudo e não conseguem proteger o que coletam.

A ICO, autoridade de proteção de dados do Reino Unido, confirmou que está ciente do incidente. Pela legislação britânica (GDPR, a lei europeia de proteção de dados que o Reino Unido manteve após o Brexit), a Meta pode enfrentar multas significativas se ficar comprovado que suas medidas técnicas não eram suficientes para proteger os dados dos próprios usuários contra funcionários.

O que isso significa pra você

Aqui no Brasil, a LGPD (Lei Geral de Proteção de Dados) é inspirada no GDPR. Temos mecanismos semelhantes. Mas a realidade é simples: quando você faz upload de uma foto privada no Facebook, Instagram ou qualquer outra plataforma, está confiando que os milhares de funcionários com acesso ao sistema não vão usar isso de forma errada.

A Meta disse que “reforçou suas medidas de segurança”. É o tipo de frase que toda empresa solta depois de um desastre. Sempre depois, nunca antes.

Se você tem fotos privadas no Facebook que não deveria, talvez esse seja um bom momento pra revisar suas configurações de privacidade. Não porque vá resolver o problema de um funcionário mal-intencionado com acesso total ao sistema, mas porque quanto menos dados sensíveis estiverem lá, menor o estrago quando a próxima brecha aparecer. E ela vai aparecer.