A enorme brecha de segurança que parece não incomodar o Facebook
Você provavelmente pensa que hackers usam vírus, scripts obscuros, exploits e outros meios complexos para invadir contas de e-mail ou redes sociais. No entanto, em muitos casos fazer isso é estupidamente simples. O Facebook é um belo exemplo — e a rede social não parece preocupada em resolver isso.
Há uma premissa básica de que este não é um problema do Facebook, e sim um problema da internet: é muito fácil resetar a senha de outra pessoa. A web parece funcionar bem, mas é construída sobre alicerces frágeis. É algo muito complexo, sobreposto a algo muito simples. E quase sempre isso dá problema: pergunte a Mat Honan, por exemplo cuja vida online foi devastada por causa dos processos ridiculamente simples que existem entre nós e os “hackers”.
Coloco em aspas porque você não precisa ser um hacker de verdade. Basta dar um jeitinho:
- Passo 1: diga que esqueceu sua senha.
- Passo 2: diga que esqueceu seu e-mail.
- Passo 3: use uma pergunta de segurança ou outro serviço ao consumidor para mudar para um novo e-mail — um que você controle.
- Passo 4: envie uma nova senha para seu novo e-mail.
- Passo 5: entre na conta da outra pessoa.
Este é o truque simples e metódico que afetou Honan, invadiu o @BurgerKing e, na semana passada, tentou pegar minha conta de Facebook. De novo, e de novo, e de novo, porque o Facebook não dificulta o acesso a essa brecha.
O ponto crucial do problema é tão ridículo que parece brincadeira: o Facebook não permite que você mude sua pergunta de segurança, nem a resposta. A rua na qual você passou sua infância, o nome do seu primeiro gato, a cidade onde sua mãe nasceu — basta saber estas pequenas curiosidades pessoais sobre alguém, e você consegue controle total da conta de outra pessoa no Facebook. Você provavelmente esqueceu a sua pergunta logo no dia em que criou sua conta. Espero que ela seja óbvia o bastante para você nunca esquecê-la.
Mas ei, e se alguém conseguir adivinhar esta informação, algo bem fácil de se descobrir através do Google e do Facebook? E se eles usarem a resposta para esta pergunta a fim de invadirem sua conta — talvez com sucesso? Não seria bom trocar esta pergunta para algo que não seja conhecido por alguém com intenções claramente ruins?
Você deve achar que sim. Eu também. No entanto, não há como mudar sua pergunta de segurança – nem a resposta – caso você ache que alguém possa ter a resposta. É possível mudar senhas, mas essa pergunta, não. O Facebook simplesmente não deixa.
Dá trabalho até para descobrir onde fica sua pergunta de segurança: eu tive que googlar “facebook security question”, o que me levou a diversas FAQs do Facebook. Uma delas, finalmente, tinha um link para esta página, onde você pode melhorar “a segurança geral da sua conta atualizando suas informações de segurança”. Exceto sua pergunta de segurança, que não pode ser atualizada. Você pode ler e clicar – se ela aparecer! – mas é imutável. Há inclusive um ícone bonitinho de cadeado perto dela.
Eu presumi que isso fosse um bug ou descuido; se nós podemos mudar todas as outras rotas de segurança até nossa conta do Facebook — e-mail, telefone, senha — por que não a pergunta de segurança, ou a resposta? Mas não pode, é assim mesmo.
Um representante do Facebook me disse que “a lógica [é] que perguntas de segurança são usadas quando uma pessoa esquece a senha. Se você puder mudar uma pergunta de segurança numa situação de conta comprometida, ela seria inútil, já que o invasor poderia trancar o dono da conta do lado de fora dela.”
Tá, isso meio que faz sentido: você não gostaria que alguém malvado mudasse a pergunta de segurança e colocasse outra resposta. Mas e se outra pessoa já tiver a resposta? Seria ótimo escolher uma nova pergunta. É como mudar a fechadura da sua casa quando alguém já tem a chave. É senso comum. Mas é impossível fazer isso no Facebook.
Por causa disso, eu recebi vários avisos por e-mail que alguém estava, mais de uma vez, tentando roubar minha conta por meio da pergunta de segurança. E eu não podia fazer nada. O único recurso é entrar no modo de pânico MINHA CONTA ESTÁ SENDO HACKEADA – através deste link – e trocar manualmente a senha e quase todos os detalhes da sua conta e… esperar que isso não aconteça de novo. Você não pode trocar a fechadura.
Por sorte, eu tenho ativada a autorização por dois fatores, que manda um código de login para meu celular. É outra função de segurança tão escondida que a maioria das pessoas provavelmente não sabe que é uma opção – aqui estão as instruções para ativar as Aprovações de login. A maioria das pessoas provavelmente não teria tanta sorte no caso de um ataque.
Neste caso, a sua única esperança é que o Facebook, no meio de um destes processos de emergência de “Estou sendo hackeado”, dê a chance de você mudar sua pergunta de segurança. Isto me ocorreu depois de escapar de várias tentativas de hacks que apareciam do nada. O mesmo atendente do Facebook me disse que “na grande maioria dos casos nós iremos permitir que as pessoas mudem suas perguntas [de segurança]” quando houver uma tentativa de invasão. Eu só tive a chance depois de uma série de tentativas — certamente não fiz parte dessa grande maioria.
Isto pareceu deter o maluco anônimo que queria se intrometer nos meus valiosos likes e amigos. Mas e se eu não fosse uma pessoa que checa compulsivamente o celular? E se eu estivesse num avião? Ou dormindo? E se eu não pudesse reagir imediatamente às tentativas de invasão até o Facebook finalmente me deixar mudar minha pergunta de segurança? Minha conta do Facebook não seria mais minha.
E é assim mesmo, disse o atendente. Este é o melhor sistema que a empresa que faz parte da vida virtual de um bilhão de pessoas no mundo pode oferecer. “O plano alternativo seria provar sua identidade através de um documento”, disse o representante. Eu não sou programador, mas me parece terrivelmente mais fácil o Facebook liberar a troca da minha própria pergunta de segurança, em vez de eu ter que enviar meu passaporte para eles por fax.