Falha de segurança no Facebook permitia que hacker acessasse qualquer conta
Se sua conta no Facebook fosse uma casa, Nir Goldshlager tinha uma cópia da chave, podia entrar nela tranquilamente e vasculhar todos os seus pertences, sem que você jamais ficasse sabendo.
“Eu encontrei uma forma de conseguir permissão total (ler mensagens, controlar páginas, controlar propagandas, ver fotos privadas, vídeos, etc.) da conta da vítima sem qualquer aplicativo instalado”, conta o hacker de segurança em seu blog, onde postou um vídeo mostrando o processo.
A façanha era possível devido a uma falha no sistema OAuth (usado pelos desenvolvedores do Facebook para acessar informações do usuário quando ele clica no botão “Permitir” de um aplicativo ou jogo): Goldshlager poderia fazer com que um usuário fosse redirecionado para um aplicativo específico e depois para o site dele, onde seria possível obter um código de acesso para a conta da pessoa – e o acesso só poderia ser interrompido quando o usuário alterasse a senha.
De acordo com um porta-voz do Facebook, Goldshlager informou a empresa sobre a falha de segurança, que já foi corrigida. “Nós trabalhamos com o Sr. Goldshlager para garantir que entendemos o tamanho da vulnerabilidade, o que nos permitiu consertá-la sem qualquer evidência de que a falha foi explorada”, contou o porta-voz. “Não temos evidências de que usuários tenham sido impactados por essa falha”.
A “ponte” entre Goldshlager e o Facebook é uma iniciativa chamada White Hat Program (“Programa Chapéu Branco”), que permite que desenvolvedores e programadores relatem falhas no sistema do Facebook e recebam uma recompensa monetária da empresa – como foi feito com Goldshlager, que figura agora na lista de agradecimentos do programa.[Gizmodo] [Daily Dot]
1 comentário
Muito legal a iniciativa White Hat Program! Assim os crackers poderão pensar duas vezes antes de fazer alguma maldade contra os usuários do Facebook!