Segurança de Tokens e Cookies do Facebook: O Que Todo Anunciante Deve Saber

Se você gerencia contas de anúncios do Facebook — as suas ou de clientes — está sentado sobre uma pilha de credenciais de acesso que, nas mãos erradas, podem drenar orçamentos, roubar dados e destruir permanentemente ativos publicitários. Isso não é hipotético. Acontece toda semana.

A crescente dependência da indústria publicitária de ferramentas não oficiais, navegadores anti-detect e fluxos de trabalho baseados em compartilhamento de tokens criou uma superfície de ataque massiva que a maioria dos media buyers não compreende totalmente. Este guia explica exatamente como tokens e cookies do Facebook funcionam, quais riscos você enfrenta ao compartilhá-los e como proteger sua operação.

Entendendo os Tokens de Acesso do Facebook

O Que São Tokens EAAB e O Que Eles Controlam

Cada vez que uma aplicação de terceiros interage com a infraestrutura publicitária da Meta, ela o faz através de um token de acesso — uma string de credenciais que diz aos servidores API da Meta quem está fazendo a solicitação e o que está autorizado a fazer.

O tipo de token mais comum em publicidade é o token EAAB (o prefixo representa o formato identificador com escopo de app que a Meta utiliza). Quando você vê uma string como EAABsbCS1iHgBAxxxxxxx, está olhando para uma chave que pode potencialmente:

• Ler e modificar todas as campanhas em cada conta de anúncios que o proprietário do token tenha acesso
• Alterar orçamentos e lances — incluindo definir orçamentos diários no valor máximo permitido
• Acessar informações de faturamento — ver métodos de pagamento, histórico de gastos e faturas
• Baixar dados de audiência — exportar audiências personalizadas, dados seed de lookalike e listas de clientes
• Gerenciar ativos do Business Manager — adicionar ou remover pessoas, reatribuir contas de anúncios, modificar permissões
• Acessar o pixel da Meta — ver dados de conversão, modificar configurações do pixel e ler dados de eventos

O escopo do acesso depende das permissões concedidas quando o token foi criado. As duas permissões mais perigosas no contexto publicitário são ads_management (controle total sobre campanhas e criativos) e business_management (controle estrutural sobre o próprio Business Manager).

Tipos de Token: Entendendo a Hierarquia

Nem todos os tokens são criados iguais. O sistema de tokens da Meta possui três categorias distintas, cada uma com diferentes implicações de segurança:

Tokens de Acesso de Usuário são gerados quando uma pessoa faz login via Facebook Login em um app de terceiros. Esses tokens herdam as permissões que o usuário concedeu durante o fluxo de autorização. Tokens de curta duração expiram após cerca de uma hora. Tokens de longa duração, obtidos trocando um token de curta duração através da API da Meta, duram aproximadamente 60 dias. São o tipo mais comumente roubado porque carregam o peso total das permissões de um usuário humano.

Tokens de Página derivam dos tokens de usuário, mas são limitados a uma Página específica do Facebook. Um token de página de longa duração gerado corretamente pode se tornar não expirante — ou seja, permanece válido até ser explicitamente revogado ou até a relação do usuário com a página mudar. São frequentemente usados por ferramentas de gestão de redes sociais.

Tokens de Usuário do Sistema são criados dentro do Business Manager para acesso API máquina-a-máquina. Não estão vinculados a nenhuma conta pessoal do Facebook, não expiram e podem ser limitados a contas de anúncios e ativos específicos. Do ponto de vista da segurança, tokens de usuário do sistema são a opção mais controlada: podem ser revogados sem afetar usuários humanos, não carregam permissões de conta pessoal e criam trilhas de auditoria claras. Qualquer plataforma publicitária legítima deveria usar tokens de usuário do sistema ou fluxos baseados em OAuth em vez de solicitar tokens pessoais de usuário.

Duração do Token e Mecânicas de Renovação

Um equívoco comum é que os tokens expiram rapidamente e, portanto, representam risco limitado. A realidade é mais complexa:

• Tokens de curta duração: duração de aproximadamente 1 hora. Risco relativamente baixo se interceptados, mas podem ser trocados por tokens de longa duração por qualquer pessoa que os possua junto com o segredo do app.
• Tokens de longa duração: aproximadamente 60 dias. Este é o tipo de token padrão usado pela maioria das ferramentas publicitárias. Sessenta dias de acesso irrestrito são mais do que suficientes para drenar um orçamento de sete dígitos.
• Tokens de página não expirantes: válidos até serem revogados. Persistem mesmo após mudanças de senha e até mesmo algumas ações de segurança da conta.
• Tokens de usuário do sistema: nunca expiram. Limitados a ativos do Business Manager. Só podem ser revogados pelas configurações do Business Manager.

O ponto crítico: mudar sua senha do Facebook não invalida tokens de acesso ativos. Se um token foi comprometido, você deve revogá-lo explicitamente pelas configurações do app do Facebook ou pelo Business Manager.

Acesso Baseado em Cookies: A Ameaça Mais Profunda

Como Funcionam os Cookies de Sessão do Facebook

Enquanto os tokens fornecem acesso em nível de API, os cookies fornecem algo indiscutivelmente mais perigoso: acesso completo em nível de sessão do navegador à sua conta do Facebook, indistinguível de você realmente estar conectado.

Dois cookies são críticos:

c_user: Contém seu ID numérico do Facebook. Não é secreto por si só — seu ID de usuário é semipúblico — mas serve como a metade identificadora do par de autenticação.

xs: O cookie de autenticação da sessão. Essa é a credencial real. Combinado com c_user, representa uma sessão do Facebook completamente autenticada. Qualquer pessoa que possua os dois cookies pode importá-los em qualquer navegador e obter imediatamente acesso total à sua conta.

Por Que a Importação de Cookies Ignora a 2FA

Esta é a parte que alarma a maioria dos anunciantes quando entendem pela primeira vez: o sequestro de sessão baseado em cookies ignora completamente a autenticação de dois fatores.

Veja por quê. A autenticação de dois fatores (2FA) é uma medida de segurança no momento do login. Ela verifica sua identidade quando você cria uma nova sessão. Mas quando alguém importa seus cookies c_user e xs, não está criando uma nova sessão — está retomando sua sessão existente, já autenticada. Do ponto de vista do Facebook, isso parece idêntico a você abrindo uma nova aba do navegador. A sessão já foi validada com 2FA quando você fez login originalmente.

É por isso que navegadores anti-detect e ferramentas de importação de cookies são tão perigosos. Eles não estão apenas contornando prompts de login — estão assumindo sua identidade autenticada completa. Qualquer pessoa com seus cookies pode:

• Acessar toda conta de anúncios vinculada ao seu Business Manager
• Modificar configurações do Business Manager (adicionar usuários, reatribuir ativos)
• Alterar suas configurações de segurança da conta (desativar 2FA, mudar e-mail/telefone)
• Acessar conversas do Messenger e caixas de entrada de páginas
• Baixar exportações de dados e códigos de backup

Como os Cookies São Roubados

Os vetores de roubo de cookies mais comuns na indústria publicitária:

1. Extensões de navegador maliciosas: Extensões com permissões amplas podem ler cookies de qualquer domínio, incluindo facebook.com. O usuário nunca recebe qualquer indicação de que seus cookies foram exfiltrados.

2. Malware infostealer: Famílias de malware como RedLine, Raccoon e Vidar visam especificamente bancos de dados de cookies do navegador. Elas extraem cookies do Chrome, Firefox, Edge e outros navegadores, empacotam-nos e os enviam para servidores de comando e controle. Esses cookies roubados são então vendidos em massa em canais do Telegram e mercados da dark web.

3. Phishing com captura de sessão: Ataques de phishing avançados usam ferramentas de proxy reverso como o Evilginx para interceptar os cookies de sessão reais em tempo real, enquanto a vítima faz login por meio de uma página de login falsa. Isso captura até mesmo sessões protegidas por 2FA.

4. Compartilhamento voluntário via ferramentas grey-hat: Muitas ferramentas publicitárias não oficiais pedem explicitamente que os usuários exportem e compartilhem seus cookies do Facebook. Os usuários fazem isso voluntariamente porque não entendem que estão entregando acesso total à conta. Veja nossa análise sobre como ferramentas grey-hat do Facebook funcionam para mais detalhes.

O Hack da Extensão Chrome do AdsPower: Um Estudo de Caso

O Que Aconteceu

Em janeiro de 2024, o AdsPower — um dos navegadores anti-detect mais utilizados na indústria de marketing de afiliados e compra de mídia — sofreu um ataque à cadeia de suprimentos por meio de sua extensão Chrome. O incidente foi uma demonstração contundente do que acontece quando os profissionais de publicidade depositam confiança excessiva em ferramentas com acesso profundo em nível de navegador.

O ataque se desenrolou por meio de uma atualização comprometida da extensão. A extensão Chrome do AdsPower, que exigia permissões extensas do navegador para funcionar como ferramenta anti-detect, recebeu uma atualização rotineira que continha código malicioso. Como os usuários já haviam concedido à extensão permissões amplas — acesso a todos os sites, capacidade de ler e modificar cookies, capacidade de interceptar requisições web — a atualização maliciosa não acionou nenhum prompt adicional de permissão.

O Mecanismo Técnico

O código injetado visava especificamente interações com carteiras de criptomoedas. Quando um usuário iniciava uma transação em sua carteira de crypto baseada em navegador (MetaMask, por exemplo), a extensão comprometida interceptava a solicitação de assinatura da transação e silenciosamente modificava o endereço de carteira de destino para um controlado pelo atacante. O usuário via o endereço correto na tela, mas a transação real na blockchain enviava os fundos para uma carteira diferente.

Estima-se que $4,7 milhões em criptomoedas foram roubados antes que o ataque fosse detectado e a extensão removida.

Por Que Isso Importa para Anunciantes

O hack do AdsPower é relevante para todo media buyer por três razões:

Primeiro, demonstrou que extensões de navegadores anti-detect são alvos de alto valor. Essas ferramentas, por design, exigem as permissões de navegador mais invasivas possíveis. Precisam modificar cookies, alterar impressões digitais do navegador, interceptar requisições e injetar scripts. Essas mesmas permissões as tornam vetores de ataque ideais.

Segundo, mostrou que ataques à cadeia de suprimentos podem comprometer ferramentas em que milhões de pessoas confiam. Você pode auditar o código de uma ferramenta hoje e tê-la comprometida amanhã por meio de uma atualização automática. A superfície de ataque não é estática.

Terceiro, provou que o risco não se limita à publicidade. Se você usa um navegador anti-detect para suas operações de anúncios, qualquer outra atividade sensível nesse ambiente de navegador — banco, cripto, e-mail, outras contas comerciais — também fica exposta. A mesma extensão que gerencia as impressões digitais do seu navegador pode ler seus cookies bancários, capturar suas sessões de e-mail e acessar qualquer serviço autenticado no navegador.

OAuth Oficial vs. Extração de Token: Uma Diferença Fundamental

Como o OAuth Funciona (O Caminho Seguro)

Quando uma plataforma publicitária legítima precisa de acesso às suas contas de anúncios Meta, ela usa o fluxo de autorização OAuth 2.0 oficial da Meta:

1. Você clica em "Conectar com o Facebook" na plataforma
2. Você é redirecionado para o domínio oficial da Meta (facebook.com)
3. A Meta mostra exatamente quais permissões o app está solicitando
4. Você aprova as permissões específicas com as quais se sente confortável
5. A Meta emite um token diretamente para a aplicação — você nunca o vê ou manipula
6. O token é limitado apenas às permissões que você aprovou
7. Você pode revogar o acesso a qualquer momento pelas suas configurações do Facebook

Esse fluxo fornece várias propriedades de segurança críticas:

• Permissões com escopo definido: o app obtém apenas as permissões específicas que você aprovou. Se você conceder apenas ads_read, o app não pode modificar suas campanhas.
• Acesso revogável: você pode revogar instantaneamente o acesso do app em Configurações do Facebook > Apps e Sites, e o token imediatamente se torna inválido.
• Trilha de auditoria: a Meta registra todas as chamadas de API feitas com o token, vinculadas ao app específico que as solicitou.
• Sem exposição de credenciais: você nunca vê, copia ou manipula o token. Ele é transmitido diretamente dos servidores da Meta para os servidores da aplicação.
• Responsabilidade do app: o app é registrado na Meta, tem um App ID e está sujeito às políticas de plataforma da Meta. Se ele se comportar de forma inadequada, a Meta pode revogar seu acesso à API inteiramente.

Como a Extração de Token Funciona (O Caminho Perigoso)

Ferramentas grey-hat usam uma abordagem completamente diferente:

1. Você faz login no Facebook no seu navegador
2. A ferramenta instrui você a abrir as Ferramentas do Desenvolvedor do Chrome (F12)
3. Você navega até a aba Application, encontra cookies ou faz uma chamada de API específica
4. Você copia um token de acesso bruto ou valores de cookies
5. Você os cola na ferramenta de terceiros

Essa abordagem não possui nenhuma das propriedades de segurança do OAuth:

• Sem escopo de permissões: o token extraído carrega suas permissões completas, não um subconjunto limitado
• Sem mecanismo de revogação: a ferramenta tem o token bruto e pode armazená-lo, compartilhá-lo ou usá-lo mesmo depois de você tentar revogar o acesso
• Sem trilha de auditoria: chamadas de API feitas com seu token extraído são indistinguíveis de chamadas que você mesmo faz
• Exposição total de credenciais: você está manipulando uma credencial bruta que, se interceptada a qualquer momento (área de transferência, captura de tela, envio de formulário inseguro), concede acesso completo
• Sem responsabilidade do app: a ferramenta não está registrada na Meta e não pode ser desativada pela aplicação de políticas da plataforma

Como Proteger Sua Operação Publicitária

Ações Imediatas

1. Audite seus apps conectados agora. Vá em Configurações do Facebook > Segurança e login > Apps e sites. Remova tudo que você não usa ativamente e não reconhece. Para o Business Manager, verifique Configurações do negócio > Usuários > Usuários do sistema para quaisquer tokens que você não criou.

2. Habilite a autenticação de dois fatores em toda conta que toca suas operações de anúncios — sua conta pessoal do Facebook, todo administrador do Business Manager, sua conta de e-mail e seu registrador de domínio. Use um app autenticador (não SMS) para os códigos.

3. Pare de compartilhar tokens brutos imediatamente. Se alguma ferramenta no seu fluxo de trabalho exige que você extraia e cole um token de acesso ou cookies, essa ferramenta é um passivo de segurança. Migre para uma plataforma que use OAuth.

4. Verifique suas extensões de navegador. Revise cada extensão instalada em qualquer navegador onde você faz login no Facebook. Remova qualquer extensão que você não precisa absolutamente. Preste atenção especial a extensões que solicitam acesso a "todos os sites" ou "ler e alterar todos os seus dados nos sites que você visita".

5. Use perfis de navegador separados. Sua sessão de publicidade no Facebook não deve compartilhar um perfil de navegador com navegação pessoal, carteiras de cripto, banco ou outras atividades sensíveis. Crie um perfil dedicado do Chrome para gestão de anúncios.

Práticas de Segurança Contínuas

Monitore atividades não autorizadas. Verifique seu Registro de Atividades regularmente para ações que você não realizou — especialmente alterações nas configurações do Business Manager, novas contas de anúncios ou campanhas desconhecidas. Configure alertas de login do Facebook para ser notificado de nova atividade de sessão.

Implemente restrições baseadas em IP. No Business Manager, habilite a configuração "Exigir autenticação de dois fatores para todos". Para tokens de usuário do sistema, restrinja o acesso à API a endereços IP específicos se sua plataforma publicitária suportar isso.

Rotacione credenciais periodicamente. Tokens de usuário do sistema devem ser rotacionados pelo menos trimestralmente. Revise e regenere tokens de longa duração regularmente. Se algum membro da equipe sair ou alguma ferramenta for desativada, revogue imediatamente todos os tokens associados.

Use tokens de usuário do sistema em vez de tokens pessoais. Sempre que possível, crie usuários do sistema no Business Manager para integrações de API. Isso desacopla o acesso à API de contas pessoais, permite controle granular de permissões e possibilita a revogação sem afetar nenhum usuário humano.

Eduque sua equipe. Toda pessoa que toca suas contas de anúncios deve entender o básico: nunca compartilhe tokens ou cookies, nunca instale extensões de navegador não verificadas, sempre use fluxos OAuth oficiais e relate imediatamente qualquer atividade suspeita na conta.

O Que Fazer Se Você Suspeitar de Comprometimento

Se você acredita que um token ou cookie foi comprometido:

1. Faça logout de todas as sessões imediatamente: Configurações do Facebook > Segurança e login > Onde você está conectado > Sair de todas as sessões
2. Mude sua senha: isso invalida cookies de sessão (mas não todos os tipos de token)
3. Revogue todas as permissões de apps: remova todo app conectado e reautorize apenas os que você confia
4. Verifique as configurações do Business Manager: procure novos usuários, permissões alteradas ou usuários do sistema desconhecidos
5. Revise atividade recente de anúncios: verifique campanhas não autorizadas, alterações de orçamento ou modificações de criativos
6. Habilite alertas de login: configure notificações para logins não reconhecidos
7. Contate o suporte da Meta: se você vir evidências de acesso não autorizado, reporte pelo Centro de Ajuda Meta Business

O Panorama Geral: Por Que Isso Importa para o Seu Negócio

Os riscos de segurança descritos aqui não são ameaças abstratas — são a realidade operacional de uma indústria onde as fronteiras entre ferramentas legítimas e serviços grey-hat são frequentemente deliberadamente obscurecidas. Toda vez que você compartilha um token, importa cookies em um navegador anti-detect ou instala uma extensão que não verificou minuciosamente, está fazendo uma troca entre conveniência e segurança.

Para uma compreensão mais profunda do que acontece quando a Meta detecta o uso de ferramentas não autorizadas, leia nosso guia sobre violações dos Termos de Serviço da Meta e suas consequências. E se você está usando cloaking ou outras técnicas de evasão, nossa análise dos riscos de cloaking em 2026 explica por que a janela para esses métodos está fechando rapidamente.

As plataformas publicitárias que sobreviverão e crescerão são as construídas sobre acesso oficial à API, fluxos OAuth e práticas de segurança transparentes. A era da extração de tokens e do compartilhamento de cookies está chegando ao fim — não por razões morais, mas porque os riscos financeiros e operacionais se tornaram indefensáveis.