Um bug do Facebook expôs administradores anônimos de páginas

Views: 62
0 0
Read Time:3 Minute, 3 Second

As páginas do Facebook oferecem a figuras públicas, empresas e outras entidades uma presença no Facebook que não está vinculada a um perfil individual. As contas por trás dessas páginas são anônimas, a menos que o proprietário da página opte por tornar os administradores públicos. Você não pode ver, por exemplo, os nomes das pessoas que postam no Facebook em nome da WIRED . Mas um bug que funcionava de quinta à noite até sexta de manhã permitia que qualquer um revelasse facilmente as contas executando uma página, essencialmente doxing qualquer pessoa que postasse em uma.

Todo o software tem falhas, e o Facebook rapidamente corrigiu esse problema – mas não antes que as notícias chegassem a painéis de mensagens como o 4chan, onde as pessoas publicavam capturas de tela que doxavam as contas atrás de páginas importantes. Tudo o que foi necessário para explorar o bug foi abrir uma página de destino e verificar o histórico de edição de uma postagem. O Facebook exibiu por engano a conta ou contas que fizeram edições em cada postagem, em vez de apenas as próprias edições.

“Corrigimos rapidamente um problema em que alguém podia ver quem editou ou publicou uma postagem em nome de uma página ao examinar seu histórico de edições”, afirmou o Facebook em comunicado. “Somos gratos ao pesquisador de segurança que nos alertou para esse problema”.

O Facebook diz que o bug foi o resultado de uma atualização de código que foi divulgada na noite de quinta-feira. Não é algo que a maioria das pessoas encontraria por conta própria, pois era necessário navegar para uma página, visualizar um histórico de edições e perceber que não deveria haver um nome e uma foto de perfil atribuídos às edições para explorá-la. Ainda assim, apesar da correção da manhã de sexta-feira, capturas de tela circulavam nas redes 4chan, Imgur e social aparecendo mostrar as contas por trás das páginas oficiais do artista pseudônimo Banksy no Facebook, o presidente russo Vladimir Putin, ex-secretária de Estado dos EUA Hillary Clinton, primeiro-ministro canadense Justin Trudeau, o coletivo hacker Anonymous, a ativista climática Greta Thunberg e o rapper Snoop Dogg, entre outros.

O Facebook ressalta que nenhuma informação além de um nome e link de perfil público estava disponível, mas essas informações não devem aparecer no histórico de edição. E para as pessoas, digamos, que administram Pages anti-regime sob um governo repressivo, tornar pública essa quantidade de informações é bastante alarmante.

“Para Pages sensíveis, eu não descartaria que algumas pessoas possam estar em perigo devido ao que aconteceu hoje”, diz Lukasz Olejnik, consultor independente de privacidade e pesquisador associado no Centro de Tecnologia e Assuntos Globais da Universidade de Oxford. “Usar contas falsas para administrar o Pages seria uma boa idéia. Alguns podem vê-lo como uma maneira paranóica de se esconder, mas não é.”

Depois de uma série de falhas de privacidade e segurança , o Facebook se concentrou em criar suas proteções e também vem expandindo constantemente sua recompensa por bugs , o que incentiva pesquisadores – como a pessoa que encontrou o bug no histórico de edições – a enviar falhas de segurança para possíveis recompensas. Melhorias ambiciosas como essas levam tempo – e nenhuma quantidade de segurança adicional pode alterar os riscos fundamentais inerentes ao armazenamento de dados de 2,5 bilhões de pessoas.

“As pessoas que administram páginas sensíveis a partir de seu próprio Facebook agora devem considerar que sua identidade pode ser conhecida”, diz Olejnik. “Enquanto erros acontecem, este é inesperado.”

FONTE: WIRED

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *