Uma falha permitia hackear qualquer perfil do Facebook usando força bruta
Um hacker do bem na Índia encontrou uma maneira de invadir o perfil de qualquer usuário do Facebook. Mas não se desespere: ele alertou o Facebook sobre a desastrosa brecha, e recebeu uma recompensa de US$ 15.000 da rede social.
Anand Prakash é engenheiro de segurança na Índia. Em um post no blog dele, intitulado “Como eu poderia ter hackeado todas as contas do Facebook“, Prakash explica como ele descobriu uma maneira de explorar o algoritmo “Esqueceu a senha?” para forçar seu caminho na conta de qualquer pessoa.
Se você esquecer sua senha, o Facebook envia por SMS ou e-mail um código de confirmação de seis dígitos para que você possa redefinir a senha e acessar o seu perfil. O Facebook dá várias tentativas para as pessoas inserirem o código corretamente antes de bloquear a conta de vez.
Esta é uma técnica chamada limitação de taxa, e essencialmente impede que ladrões de identidade simplesmente usem uma lista de todas as combinações possíveis de números até descobrirem a correta – algo chamada de força bruta.
O problema é que sites beta do Facebook (como beta.facebook.com) estavam sem o recurso de limitação de taxa. Assim, Prakash invadiu a conta de um usuário, porque o site beta lhe dava um número ilimitado de tentativas para inserir o código de confirmação de seis dígitos.
Confira abaixo o vídeo de Prakash com todos os detalhes:
Depois de redefinir com êxito a senha do usuário, Prakash diz que ele podia “visualizar as mensagens dele, seus cartões de crédito/débito armazenados na seção de pagamento, fotos pessoais etc.” Este é exatamente o tipo de informação que você não gostaria que um hacker roubasse.
Melanie Ensign, representante de Segurança das Comunicações no Facebook, me disse em entrevista por telefone que o bug esteve disponível por 72 horas no site beta, que também é geralmente protegido contra hacks de força bruta. O erro apareceu quando o Facebook estava realizando uma mudança de sistema no backend, deixando o site beta temporariamente vulnerável.
O Facebook, que já trabalhou com Prakash antes para farejar erros, enviou o seguinte comunicado ao Gizmodo:
Um dos benefícios mais valiosos dos programas de recompensa de bugs é a capacidade de encontrar problemas antes mesmo de eles saírem do beta. Estamos felizes em reconhecer e recompensar Anand pelo seu excelente relatório.
Prakash diz que descobriu a vulnerabilidade e a relatou ao Facebook em 22 de fevereiro. Em 2 de março, o Facebook lhe pagou US$ 15.000. Ele nos enviou uma imagem do pagamento da recompensa – que, sinceramente, parece pouco.
A rede social costuma pagar uma recompensa a hackers que alertam sobre vulnerabilidades sérias. Há um ano, falamos por aqui sobre um bug semelhante que permitia excluir qualquer foto no Facebook. A empresa confirmou a falha, e pagou US$ 12.500 para o pesquisador que a descobriu.
[Anand Prakash via Hacker News]
Foto por Jeff Chiu/AP