Wiki CompFor
Nuvem, OSINT, contas online, telefonia e localização

Facebook/Meta, provedores e requisições legais

Categoria: Nuvem, OSINT, contas online, telefonia e localização

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre facebook/Meta, provedores e requisições legais no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como IPED, WhatsApp. Os termos mais recorrentes neste tema incluem: facebook, metadados, mas, caso, pra, imagem, aplicativo, whatsapp, pelo, foi. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Encaminhar pedidos a canais oficiais e com base legal adequada.
  • Distinguir dados cadastrais, registros de acesso e conteúdo.
  • Correlacionar resposta de provedor com artefatos do dispositivo.

Ferramentas, sistemas ou marcas citadas

IPEDWhatsApp

Palavras-chave recorrentes

facebookmetadadosmascasopraimagemaplicativowhatsapppelofoicellebriteaparenciaprintspossivelfilearquivoaparelhovideo

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 01/09/2017 14:16 a 14:58 — Requisição legal e quebra de sigilo de conta Facebook

01/09/2017 14:16 · Membro 0003
what it's like. To be the bad man. To be the sad man. Behind blue eyes.
01/09/2017 14:57 · Membro 0011
Facebook tem colaborado, pede a quebra do sigilo da conta.
01/09/2017 14:58 · Membro 0011
Sai rápido a quebra. A partir daí pede a ERB do celular que tá acessando o Facebook

Origem 002 — 23/02/2018 12:50 a 12:50 — Metadados EXIF/JPEG e individualização de câmera

23/02/2018 12:50 · Membro 0021
Bom dia!
Há aplicativos e programas que alteram os metadados de um arquivo. Hipoteticamente, uma pessoa alterou o exif de uma imagem: Só a data e hora de criação/tirada.

Neste caso, é possível identificar que houve alteração no exif?

Origem 003 — 17/12/2018 09:11 a 10:09 — Facebook/Meta, provedores e requisições legais

17/12/2018 09:11 · Membro 0004
Pessoal, quais os softwares espiões de celular que vcs já se depararam nas extrações?
17/12/2018 10:08 · Membro 0020
Facebook
17/12/2018 10:09 · Membro 0004
algum outro, fora o [NOME] espião e Cerberus?

Origem 004 — 04/01/2019 17:35 a 17:35 — Isso aí pessoal logar pelo Google, ou Facebook ou criar usuário e apoiar

04/01/2019 17:35 · Membro 0020
Isso aí pessoal logar pelo Google, ou Facebook ou criar usuário e apoiar 👆🏽

Origem 005 — 27/05/2019 22:31 a 22:53 — Recuperação de arquivos apagados e carving

27/05/2019 22:31 · Membro 0018
Tá fechando com isso. É um caso envolvendo pedofilia e querem saber data de download. A modificação está parecendo estar fora
27/05/2019 22:32 · Membro 0018
Mmas a minha dúvida quanto a confiabilidade é por que os arquivos, na recuperação, acabaram por ficar com outros nomes, pode ter acontecido com as datas?
27/05/2019 22:51 · Membro 0051
Assim, um arquivo pode ter a modificação antes da criação, basta q ele seja modificado e depois copiado para uma mídia nova. Agora, recuperação por mineração de dados não recupera meta dado (datas etc)
27/05/2019 22:53 · Membro 0051
Os metadados são intrínsecos dos file systems. Ou seja, ele está na entrada da estrutura do file system. Se vc não tem mais a entrada lá e recupera os dados por carving de disco, não terá os metadados. No entanto, há file systems q marcam o flag de apagado, mas não deletam a entrada até ser necessário. Nesse caso, vc ainda conseguiria recuperar os metadados, eu acho.

Origem 006 — 22/10/2020 14:27 a 14:58 — Requisição legal e quebra de sigilo de conta Facebook

22/10/2020 14:27 · Membro 0010
Pessoal. Alguém tem o contato do escritório do Facebook
22/10/2020 14:27 · Membro 0010
Para encaminhar solicitação judicial?
22/10/2020 14:57 · Membro 0010
Opa agora mudou
22/10/2020 14:58 · Membro 0010
Tem uma plataforma
22/10/2020 14:58 · Membro 0010
Facebook.com.br/records

Origem 007 — 18/11/2020 04:39 a 04:39 — TRF1 multa Facebook em 10 mil por negar entrega de dados de usuários

18/11/2020 04:39 · Membro 0044
TRF1 multa Facebook em 10 mil por negar entrega de dados de usuários suspeitos - Olhar Digital - https://olhardigital.com.br/noticia/trf1-multa-facebook-por-descumprimento-de-decisao-judicial/110303

Origem 008 — 18/03/2021 19:20 a 19:42 — O facebook só tem acesso a tudo isso pq ela concedeu acesso. ela

18/03/2021 19:20 · Membro 0013
Acabei de fazer no meu.
18/03/2021 19:22 · Membro 0112
o facebook só tem acesso a tudo isso pq ela concedeu acesso. ela no mínimo usou a senha do facebook pra entrar nesses aplicativos. nesse caso, vem umas 2 ou 3 confirmacoes pra fazer isso, e ela concedeu, se ela tivesse negado, o facebook não teria tido acesso sozinho.
18/03/2021 19:23 · Membro 0013
Eu também concedi. 😂
18/03/2021 19:26 · Membro 0013
Mas tipo. Tenho NuBank não tem a menor condição de ser a mesma senha.
18/03/2021 19:27 · Membro 0013
Então, acredito que a senha não tenha muita ligação.
18/03/2021 19:30 · Membro 0003
Pois é, concedeu acesso ou logou no aplicativo pelo login do Facebook. Mas só ter o Facebook instalado no celular já monitora quase tudo mesmo...
18/03/2021 19:31 · Membro 0015
mesmo desabilitando, ele continua enviando dados porem de forma anonima (segundo ele...)
18/03/2021 19:37 · Membro 0013
Pois eh. Logando utilizando as mesmas credenciais do Facebook, beleza. Mas tem uns, no meu caso, não tem tem o menor perigo de utilizar.
18/03/2021 19:42 · Membro 0003
Eu não tenho como ver no meu porque nunca instalei o aplicativo do Facebook

Origem 009 — 03/01/2025 12:24 a 13:18 — Uso do IPED na triagem, indexação e análise

03/01/2025 12:24 · Membro 0048
que tipo de documento é?
03/01/2025 12:47 · Membro 0112
não deu boa, nem via recovery do mac, nem usando o fuji. :(
03/01/2025 12:50 · Membro 0040
Tem dois .DOC tmb que estou analisando.
03/01/2025 12:54 · Membro 0048
Para PDF dependendo do programa usado, tem como levantar vários elementos que podem sugerir o ambiente computacional no qual foi gerado/modificado o arquivo.
03/01/2025 12:54 · Membro 0048
Metadados comuns têm o nome do programa usado e do sistema operacional tb. <Mensagem editada>
03/01/2025 12:54 · Membro 0048
Se vc for mais afundo na estrutura do PDF, vc consegue pegar os codecs usados na codificação.
03/01/2025 12:55 · Membro 0048
Aí vc pode gerar um PDF na máquina, ou numa virtual com mesmo ambiente, e comparar
03/01/2025 12:55 · Membro 0048
Não identifica o ambiente computacional, porém pode indicar um certo grau de compatibilidade
03/01/2025 12:58 · Membro 0048
DOC pelo que me lembre vc tb só tem metadados também como programa, versão, etc...
03/01/2025 12:58 · Membro 0048
sugiro a mesma abordagem
03/01/2025 13:10 · Membro 0040
Beleza, vou proceder assim então [NOME], obrigado!
03/01/2025 13:11 · Membro 0040
Outra pergunta o IPED pega o mesmo UTC do computador?
03/01/2025 13:18 · Membro 0112
no final, nem Fuji, nem dd, acabou que to fazendo um tar.gz do diretorio do usuário, e vou tirar o hash do arquivo pra por no laudo. 🤷🏼

Origem 010 — 06/01/2025 17:30 a 18:34 — Vc tem o projeto dela ainda

06/01/2025 17:30 · Membro 0105
Vc tem o projeto dela ainda?
06/01/2025 18:32 · Membro 0014
Acho interessante aquelas estruturas metálica de fazenda de celulares (fazenda de click). Gasta pouco e fica bacana.
06/01/2025 18:34 · Membro 0014
IMG-20250106-WA0036.jpg (arquivo anexado)
06/01/2025 18:34 · Membro 0014
IMG-20250106-WA0037.jpg (arquivo anexado)

Origem 011 — 22/01/2025 17:56 a 17:57 — Metadados EXIF/JPEG e individualização de câmera

22/01/2025 17:56 · Membro 0096
Pessoal, alguém sabe dizer o motivo de o PA não pegar os metadados de um vídeo que, na galeria, tem metadados?
22/01/2025 17:56 · Membro 0096
<Mídia oculta>
No celular tem os metadados normalmente. Até local.
22/01/2025 17:56 · Membro 0096
<Mídia oculta>
No PA, em nenhum dos 3 resultados o arquivo tem metadado.
22/01/2025 17:57 · Membro 0096
De câmera ao menos.

Origem 012 — 28/02/2025 10:48 a 11:31 — Metadados EXIF/JPEG e individualização de câmera

28/02/2025 10:48 · Membro 0078
Se alguém criar imagens de prints falsos e copiar para o telefone para a mesma pasta que ele salva os prints quando tirados pelo aparelho e se a aparência visual for idêntica a dos prints autênticos seria possível diferenciar? <Mensagem editada>
28/02/2025 10:50 · Membro 0078
Seria um exame de análise de imagem pra ver se acha algum elemento visual que destoa das imagens de prints autênticos? Quando se tira print é salvo algum metadado ou exif no arquivo de imagem que identifica o aparelho? <Mensagem editada>
28/02/2025 10:52 · Membro 0003
Eu fiz um caso em que era possível identificar diferença visual nos prints falsos, então fiz uma comparação mostrando isso. Mas é mais fácil provar que é falso do que provar que é verdadeiro.
28/02/2025 10:55 · Membro 0144
Com Fourier dá pra detectar.
Melhor encaminhar para o laboratório de Audiovisual Forense, pedir um laudo suplementar.
28/02/2025 10:56 · Membro 0130
Esse é o problema!
Provar que é verdadeiro!
28/02/2025 10:57 · Membro 0130
Os metadados não podem ser editados? Se editarmos os metadados, aquele "exiftool" detecta?
28/02/2025 10:57 · Membro 0078
Talvez o máximo que dê pra dizer é que tem aparência visual compatível
28/02/2025 10:58 · Membro 0003
Se houve alteração na imagem, mas se for print de um aplicativo falso com aparência idêntica, não vai detectar.
28/02/2025 10:58 · Membro 0130
Em relação às conversas no WhatsApp, o que vocês sugerem?

Aqui não temos Cellebrite☹️
28/02/2025 10:58 · Membro 0078
Detecta não. Se editar os metadados igual não iria ser possivel diferenciar.
28/02/2025 10:59 · Membro 0078
Mas às vezes a pessoa não teve esse cuidado e só se dedicou a imitar a aparência visual. <Mensagem editada>
28/02/2025 11:00 · Membro 0144
Se ele tem o equipamento original que fez o print, é possível detectar.
28/02/2025 11:02 · Membro 0130
Provar a autenticidade de capturas de tela e fotos obtidas no próprio aparelho tem se mostrado algo desafiador pra mim.
28/02/2025 11:02 · Membro 0003
Pelo que entendi do caso, a pessoa que foi vítima fez prints no próprio aparelho de conversas que foram posteriomente apagadas. Então do ponto de vista de exifs e detecção, se foi utilizado um aplicativo falso de aparência idêntica, não haveria alteração.
28/02/2025 11:04 · Membro 0130
O caso foi exatamente esse.
E tem algumas fotos de documentos que a vítima também tirou quando encontrou com o estelionatário.

Como provar que foram tiradas pelo aparelho dela?

Em relação às fotos, o "exiftool" sozinho não é suficiente, certo?

O Cellebrite resolveria, mas não temos aqui. Alguma outra sugestão?
28/02/2025 11:05 · Membro 0130
Trata-se exatamente disso.🎯
28/02/2025 11:08 · Membro 0003
O exiftool seria um bom indício, comparando com outras fotos feitas pelo aparelho, porque para "falsificar" todos esses dados em uma foto, seria necessário um esforço pouco usual por parte da pessoa.
28/02/2025 11:08 · Membro 0003
o cellebrite não faria algo muito diferente disso
28/02/2025 11:21 · Membro 0003
pode ser interessante gerar um print de padrão [SEGREDO] para a áudio e vídeo daí fazer essa comparação
28/02/2025 11:23 · Membro 0130
Verdade.
Esse método comparativo seria válido, não é?
28/02/2025 11:24 · Membro 0003
para verificar se houve manipulação no print sim, mas ainda há a possibilidade de ter sido feito em um aplicativo falso de aparência idêntica
28/02/2025 11:28 · Membro 0130
Ou seja, ainda sim temos a dificuldade em atestar se foi, de fato, obtido de forma autêntica no WhatsApp.
28/02/2025 11:30 · Membro 0003
Mas é o tipo da coisa, se você encontra um conjunto de elementos probatórios, pode-se assumir que sejam autênticos. O exame de dna só tem 99,999% de assertividade, e ainda assim é aceito 😅
28/02/2025 11:31 · Membro 0003
Nesse que eu fiz tinha o registro de instalação desse aplicativo de falsificar as conversas, o que facilitou para fazer a comparação.

Origem 013 — 29/10/2025 10:22 a 14:41 — Extração e análise de mensagens do WhatsApp

29/10/2025 10:22 · Membro 0096
pois é... mas vou vendo como a coisa se desenvolve e depois mando um sinal, se enroscar denovo

Mto obrigado!
29/10/2025 11:25 · Membro 0112
<Mídia oculta>
pessoal, estamos com um caso que o retorno do Whatsapp aponta como o IP do usuário do aplicativo estar na faixa de IPV6 2803:6080-2803:6087.
segundo a pesquisa do whois esses IPs são todos de propriedade da meta (facebook, mais especificamente)
qual a possibilidade disso? serviço de vpn da meta? erro do pessoal do whatsapp?
29/10/2025 12:57 · Membro 0147
<Mídia oculta>
Venho aqui publicamente agradecer ao CEL [NOME] da Inteligência do Exército [NOME] pela honraria recebida - A medalha da 8° CIA INTLG! Conte sempre com meus serviços Coronel! Exército [NOME] pra sempre no meu coração, uma vez na CASERNA sempre CASERNA! 🫡🇧🇷
29/10/2025 12:58 - [TELEFONE]:
29/10/2025 14:37 · Membro 0096
Finalizado com sucesso!
29/10/2025 14:41 · Membro 0096
Em resumo... Diferenças: antes a pasta TEMP estava na mesma unidade do sistema operacional. Na segunda tentativa coloquei a imagem e processamento em um SSD, mantive o sistema operacional noutro SSD e a pasta TEMP num terceiro SSD. Além disso, desabilitei enableGraphGeneration e enableHTMLReport. Não sei exatamente o que foi, mas resolveu. <Mensagem editada>

Origem 014 — 31/12/2025 12:29 a 12:29 — Extração e decodificação de bancos do WhatsApp

31/12/2025 12:29 · Membro 0048
Bom dia a todos.
Informo que foram feitas alterações no ZAPiXWEB (https://github.com/kraftdenker/ZAPiXWEB) para adaptação a mudanças na API da META.
Também informo que desde 9/12 a META trocou novamente a plataforma do WhatsApp Desktop de UWP para WEBVIEW2. Com isso, foi feito um paliativo para usar a técnica do WEB na versão WEBVIEW2 descrito no README do ZAPiXDESK (https://github.com/kraftdenker/ZAPiXDESK).
Assim que possível, será adaptado o script do ZAPiXDESK para decifrar os bancos mantidos na nova plataforma.