Um pesquisador de segurança ganhou US$ 10 mil ao descobrir um bug que permitia apagar imagens do perfil de qualquer usuário do Facebook.

O bug foi descoberto por Pouya Darabi no início de novembro. O pesquisador explica em seu blog que ao criar uma enquete com imagem, o Facebook determinava um ID único e individual para a figura enviada. Com isso, o pesquisador descobriu que este ID poderia ser substituído por qualquer outro ID na rede social, incluindo imagens privadas de usuários que ele sequer conhecia.

Darabi descobriu também que, ao deletar a enquete, a imagem era apagada não só da postagem, mas também de sua fonte — ou seja, caso o ID fosse substituído pelo ID da imagem de avatar de alguém usuário, essa imagem seria apagada junto com a enquete.

Ele não explica como conseguiu obter o ID de outras imagens, mas, como aponta a Motherboard, ele provavelmente conseguiu na tentativa e erro. Todo o processo para selecionar e deletar imagens pela enquete é explicado no vídeo abaixo:

Darabi alertou o Facebook sobre a falha, que foi corrida em seguida, no dia 5 de novembro. A rede também confirmou a versão do pesquisador e o premiou com US$ 10 mil pela descoberta.

Essa não é a primeira vez que Darabi ganha dinheiro com falhas dos outros. De acordo com informações do We Live Security, Darabi recebeu US$ 15 mil por burlar um sistema de proteção contra falsificação de solicitações em 2015, e US$ 7.500 no ano seguinte por descobrir uma falha semelhante.

O programa Bug Bounty do Facebook paga no mínimo US$ 500 por falha em diversos de seus produtos, como a própria rede social, o Instagram e o WhatsApp. É preciso, no entanto, não informar outras pessoas ou meios de comunicação enquanto o Facebook avalia o problema para ser elegível ao prêmio em dinheiro. Você pode ler mais sobre o programa e suas políticas neste link.

Até 2016, o programa Bug Bounty havia pago mais US$ 4 milhões para cerca de 800 pessoas que encontraram falhas no código dos serviços da rede, de acordo com informações do The Guardian. Um garoto finlandês de 10 anos recebeu a mesma quantia que Darabi ao descobrir uma brecha que permitia deletar comentários de outros usuários no Instagram.

Também em 2016, o Facebook pagou US$ 15 mil a um pesquisador de segurança que descobriu uma falha que permitia invadir qualquer perfil da rede.

Por mais chato e lento que seja atualizar seus aplicativos é de extrema importância fazê-los, como mostram os erros descobertos. Mas talvez ficar de olho em falhas e brechas seja uma maneira de juntar o seu pé de meia.

[MotherboardWe Live Security]