Facebook/Meta, provedores e requisições legais
Categoria: Nuvem, OSINT, contas online, telefonia e localização
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre facebook/Meta, provedores e requisições legais no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como IPED, WhatsApp. Os termos mais recorrentes neste tema incluem: facebook, metadados, mas, caso, pra, imagem, aplicativo, whatsapp, pelo, foi. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Encaminhar pedidos a canais oficiais e com base legal adequada.
- Distinguir dados cadastrais, registros de acesso e conteúdo.
- Correlacionar resposta de provedor com artefatos do dispositivo.
Ferramentas, sistemas ou marcas citadas
IPEDWhatsAppPalavras-chave recorrentes
facebookmetadadosmascasopraimagemaplicativowhatsapppelofoicellebriteaparenciaprintspossivelfilearquivoaparelhovideoDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 01/09/2017 14:16 a 14:58 — Requisição legal e quebra de sigilo de conta Facebook
what it's like. To be the bad man. To be the sad man. Behind blue eyes.
Facebook tem colaborado, pede a quebra do sigilo da conta.
Sai rápido a quebra. A partir daí pede a ERB do celular que tá acessando o Facebook
Origem 002 — 23/02/2018 12:50 a 12:50 — Metadados EXIF/JPEG e individualização de câmera
Bom dia!
Há aplicativos e programas que alteram os metadados de um arquivo. Hipoteticamente, uma pessoa alterou o exif de uma imagem: Só a data e hora de criação/tirada.
Neste caso, é possível identificar que houve alteração no exif?
Há aplicativos e programas que alteram os metadados de um arquivo. Hipoteticamente, uma pessoa alterou o exif de uma imagem: Só a data e hora de criação/tirada.
Neste caso, é possível identificar que houve alteração no exif?
Origem 003 — 17/12/2018 09:11 a 10:09 — Facebook/Meta, provedores e requisições legais
Pessoal, quais os softwares espiões de celular que vcs já se depararam nas extrações?
Facebook
algum outro, fora o [NOME] espião e Cerberus?
Origem 004 — 04/01/2019 17:35 a 17:35 — Isso aí pessoal logar pelo Google, ou Facebook ou criar usuário e apoiar
Isso aí pessoal logar pelo Google, ou Facebook ou criar usuário e apoiar 👆🏽
Origem 005 — 27/05/2019 22:31 a 22:53 — Recuperação de arquivos apagados e carving
Tá fechando com isso. É um caso envolvendo pedofilia e querem saber data de download. A modificação está parecendo estar fora
Mmas a minha dúvida quanto a confiabilidade é por que os arquivos, na recuperação, acabaram por ficar com outros nomes, pode ter acontecido com as datas?
Assim, um arquivo pode ter a modificação antes da criação, basta q ele seja modificado e depois copiado para uma mídia nova. Agora, recuperação por mineração de dados não recupera meta dado (datas etc)
Os metadados são intrínsecos dos file systems. Ou seja, ele está na entrada da estrutura do file system. Se vc não tem mais a entrada lá e recupera os dados por carving de disco, não terá os metadados. No entanto, há file systems q marcam o flag de apagado, mas não deletam a entrada até ser necessário. Nesse caso, vc ainda conseguiria recuperar os metadados, eu acho.
Origem 006 — 22/10/2020 14:27 a 14:58 — Requisição legal e quebra de sigilo de conta Facebook
Pessoal. Alguém tem o contato do escritório do Facebook
Para encaminhar solicitação judicial?
Opa agora mudou
Tem uma plataforma
Facebook.com.br/records
Origem 007 — 18/11/2020 04:39 a 04:39 — TRF1 multa Facebook em 10 mil por negar entrega de dados de usuários
TRF1 multa Facebook em 10 mil por negar entrega de dados de usuários suspeitos - Olhar Digital - https://olhardigital.com.br/noticia/trf1-multa-facebook-por-descumprimento-de-decisao-judicial/110303
Origem 008 — 18/03/2021 19:20 a 19:42 — O facebook só tem acesso a tudo isso pq ela concedeu acesso. ela
Acabei de fazer no meu.
o facebook só tem acesso a tudo isso pq ela concedeu acesso. ela no mínimo usou a senha do facebook pra entrar nesses aplicativos. nesse caso, vem umas 2 ou 3 confirmacoes pra fazer isso, e ela concedeu, se ela tivesse negado, o facebook não teria tido acesso sozinho.
Eu também concedi. 😂
Mas tipo. Tenho NuBank não tem a menor condição de ser a mesma senha.
Então, acredito que a senha não tenha muita ligação.
Pois é, concedeu acesso ou logou no aplicativo pelo login do Facebook. Mas só ter o Facebook instalado no celular já monitora quase tudo mesmo...
mesmo desabilitando, ele continua enviando dados porem de forma anonima (segundo ele...)
Pois eh. Logando utilizando as mesmas credenciais do Facebook, beleza. Mas tem uns, no meu caso, não tem tem o menor perigo de utilizar.
Eu não tenho como ver no meu porque nunca instalei o aplicativo do Facebook
Origem 009 — 03/01/2025 12:24 a 13:18 — Uso do IPED na triagem, indexação e análise
que tipo de documento é?
não deu boa, nem via recovery do mac, nem usando o fuji. :(
Tem dois .DOC tmb que estou analisando.
Para PDF dependendo do programa usado, tem como levantar vários elementos que podem sugerir o ambiente computacional no qual foi gerado/modificado o arquivo.
Metadados comuns têm o nome do programa usado e do sistema operacional tb. <Mensagem editada>
Se vc for mais afundo na estrutura do PDF, vc consegue pegar os codecs usados na codificação.
Aí vc pode gerar um PDF na máquina, ou numa virtual com mesmo ambiente, e comparar
Não identifica o ambiente computacional, porém pode indicar um certo grau de compatibilidade
DOC pelo que me lembre vc tb só tem metadados também como programa, versão, etc...
sugiro a mesma abordagem
Beleza, vou proceder assim então [NOME], obrigado!
Outra pergunta o IPED pega o mesmo UTC do computador?
no final, nem Fuji, nem dd, acabou que to fazendo um tar.gz do diretorio do usuário, e vou tirar o hash do arquivo pra por no laudo. 🤷🏼
Origem 010 — 06/01/2025 17:30 a 18:34 — Vc tem o projeto dela ainda
Vc tem o projeto dela ainda?
Acho interessante aquelas estruturas metálica de fazenda de celulares (fazenda de click). Gasta pouco e fica bacana.
IMG-20250106-WA0036.jpg (arquivo anexado)
IMG-20250106-WA0037.jpg (arquivo anexado)
Origem 011 — 22/01/2025 17:56 a 17:57 — Metadados EXIF/JPEG e individualização de câmera
Pessoal, alguém sabe dizer o motivo de o PA não pegar os metadados de um vídeo que, na galeria, tem metadados?
<Mídia oculta>
No celular tem os metadados normalmente. Até local.
No celular tem os metadados normalmente. Até local.
<Mídia oculta>
No PA, em nenhum dos 3 resultados o arquivo tem metadado.
No PA, em nenhum dos 3 resultados o arquivo tem metadado.
De câmera ao menos.
Origem 012 — 28/02/2025 10:48 a 11:31 — Metadados EXIF/JPEG e individualização de câmera
Se alguém criar imagens de prints falsos e copiar para o telefone para a mesma pasta que ele salva os prints quando tirados pelo aparelho e se a aparência visual for idêntica a dos prints autênticos seria possível diferenciar? <Mensagem editada>
Seria um exame de análise de imagem pra ver se acha algum elemento visual que destoa das imagens de prints autênticos? Quando se tira print é salvo algum metadado ou exif no arquivo de imagem que identifica o aparelho? <Mensagem editada>
Eu fiz um caso em que era possível identificar diferença visual nos prints falsos, então fiz uma comparação mostrando isso. Mas é mais fácil provar que é falso do que provar que é verdadeiro.
Com Fourier dá pra detectar.
Melhor encaminhar para o laboratório de Audiovisual Forense, pedir um laudo suplementar.
Melhor encaminhar para o laboratório de Audiovisual Forense, pedir um laudo suplementar.
Esse é o problema!
Provar que é verdadeiro!
Provar que é verdadeiro!
Os metadados não podem ser editados? Se editarmos os metadados, aquele "exiftool" detecta?
Talvez o máximo que dê pra dizer é que tem aparência visual compatível
Se houve alteração na imagem, mas se for print de um aplicativo falso com aparência idêntica, não vai detectar.
Em relação às conversas no WhatsApp, o que vocês sugerem?
Aqui não temos Cellebrite☹️
Aqui não temos Cellebrite☹️
Detecta não. Se editar os metadados igual não iria ser possivel diferenciar.
Mas às vezes a pessoa não teve esse cuidado e só se dedicou a imitar a aparência visual. <Mensagem editada>
Se ele tem o equipamento original que fez o print, é possível detectar.
Provar a autenticidade de capturas de tela e fotos obtidas no próprio aparelho tem se mostrado algo desafiador pra mim.
Pelo que entendi do caso, a pessoa que foi vítima fez prints no próprio aparelho de conversas que foram posteriomente apagadas. Então do ponto de vista de exifs e detecção, se foi utilizado um aplicativo falso de aparência idêntica, não haveria alteração.
O caso foi exatamente esse.
E tem algumas fotos de documentos que a vítima também tirou quando encontrou com o estelionatário.
Como provar que foram tiradas pelo aparelho dela?
Em relação às fotos, o "exiftool" sozinho não é suficiente, certo?
O Cellebrite resolveria, mas não temos aqui. Alguma outra sugestão?
E tem algumas fotos de documentos que a vítima também tirou quando encontrou com o estelionatário.
Como provar que foram tiradas pelo aparelho dela?
Em relação às fotos, o "exiftool" sozinho não é suficiente, certo?
O Cellebrite resolveria, mas não temos aqui. Alguma outra sugestão?
Trata-se exatamente disso.🎯
O exiftool seria um bom indício, comparando com outras fotos feitas pelo aparelho, porque para "falsificar" todos esses dados em uma foto, seria necessário um esforço pouco usual por parte da pessoa.
o cellebrite não faria algo muito diferente disso
pode ser interessante gerar um print de padrão [SEGREDO] para a áudio e vídeo daí fazer essa comparação
Verdade.
Esse método comparativo seria válido, não é?
Esse método comparativo seria válido, não é?
para verificar se houve manipulação no print sim, mas ainda há a possibilidade de ter sido feito em um aplicativo falso de aparência idêntica
Ou seja, ainda sim temos a dificuldade em atestar se foi, de fato, obtido de forma autêntica no WhatsApp.
Mas é o tipo da coisa, se você encontra um conjunto de elementos probatórios, pode-se assumir que sejam autênticos. O exame de dna só tem 99,999% de assertividade, e ainda assim é aceito 😅
Nesse que eu fiz tinha o registro de instalação desse aplicativo de falsificar as conversas, o que facilitou para fazer a comparação.
Origem 013 — 29/10/2025 10:22 a 14:41 — Extração e análise de mensagens do WhatsApp
pois é... mas vou vendo como a coisa se desenvolve e depois mando um sinal, se enroscar denovo
Mto obrigado!
Mto obrigado!
<Mídia oculta>
pessoal, estamos com um caso que o retorno do Whatsapp aponta como o IP do usuário do aplicativo estar na faixa de IPV6 2803:6080-2803:6087.
segundo a pesquisa do whois esses IPs são todos de propriedade da meta (facebook, mais especificamente)
qual a possibilidade disso? serviço de vpn da meta? erro do pessoal do whatsapp?
pessoal, estamos com um caso que o retorno do Whatsapp aponta como o IP do usuário do aplicativo estar na faixa de IPV6 2803:6080-2803:6087.
segundo a pesquisa do whois esses IPs são todos de propriedade da meta (facebook, mais especificamente)
qual a possibilidade disso? serviço de vpn da meta? erro do pessoal do whatsapp?
<Mídia oculta>
Venho aqui publicamente agradecer ao CEL [NOME] da Inteligência do Exército [NOME] pela honraria recebida - A medalha da 8° CIA INTLG! Conte sempre com meus serviços Coronel! Exército [NOME] pra sempre no meu coração, uma vez na CASERNA sempre CASERNA! 🫡🇧🇷
29/10/2025 12:58 - [TELEFONE]:
Venho aqui publicamente agradecer ao CEL [NOME] da Inteligência do Exército [NOME] pela honraria recebida - A medalha da 8° CIA INTLG! Conte sempre com meus serviços Coronel! Exército [NOME] pra sempre no meu coração, uma vez na CASERNA sempre CASERNA! 🫡🇧🇷
29/10/2025 12:58 - [TELEFONE]:
Finalizado com sucesso!
Em resumo... Diferenças: antes a pasta TEMP estava na mesma unidade do sistema operacional. Na segunda tentativa coloquei a imagem e processamento em um SSD, mantive o sistema operacional noutro SSD e a pasta TEMP num terceiro SSD. Além disso, desabilitei enableGraphGeneration e enableHTMLReport. Não sei exatamente o que foi, mas resolveu. <Mensagem editada>
Origem 014 — 31/12/2025 12:29 a 12:29 — Extração e decodificação de bancos do WhatsApp
Bom dia a todos.
Informo que foram feitas alterações no ZAPiXWEB (https://github.com/kraftdenker/ZAPiXWEB) para adaptação a mudanças na API da META.
Também informo que desde 9/12 a META trocou novamente a plataforma do WhatsApp Desktop de UWP para WEBVIEW2. Com isso, foi feito um paliativo para usar a técnica do WEB na versão WEBVIEW2 descrito no README do ZAPiXDESK (https://github.com/kraftdenker/ZAPiXDESK).
Assim que possível, será adaptado o script do ZAPiXDESK para decifrar os bancos mantidos na nova plataforma.
Informo que foram feitas alterações no ZAPiXWEB (https://github.com/kraftdenker/ZAPiXWEB) para adaptação a mudanças na API da META.
Também informo que desde 9/12 a META trocou novamente a plataforma do WhatsApp Desktop de UWP para WEBVIEW2. Com isso, foi feito um paliativo para usar a técnica do WEB na versão WEBVIEW2 descrito no README do ZAPiXDESK (https://github.com/kraftdenker/ZAPiXDESK).
Assim que possível, será adaptado o script do ZAPiXDESK para decifrar os bancos mantidos na nova plataforma.