Facebook corrige falha que poderia roubar contas com link e paga US$ 20 mil a pesquisador que identificou o erro

Views: 75
0 0
Read Time:2 Minute, 24 Second

O pesquisador de segurança Vinoth Kumar revelou ter recebido US$ 20 mil (cerca de R$ 120 mil) do Facebook após relatar uma vulnerabilidade na integração do login do Facebook com outros sites na internet. A falha poderia ser explorada com um clique – o site falso só precisaria convencer a vítima a clicar no botão “Continuar com Facebook” – e permitiria a um hacker roubar a conta da vítima.

Kumar afirma que entrou em contato com o Facebook no dia 17 de abril para relatar os detalhes da brecha. Três dias depois, no dia 20 de abril, a rede social já havia modificado o código para inibir os ataques. No dia 1º de maio, o pesquisador recebeu sua recompensa, que supera em mais de dez vezes a média das recompensas do programa, que foi de US$ 1,5 mil em 2019.

Como o problema já está corrigido, os usuários não estão mais em risco. Não há qualquer registro de que a falha tenha sido explorada por hackers em ataques reais.

Entenda a falha

O recurso de “login com Facebook” ou “continuar com Facebook” permite que sites na internet usem o perfil da rede social para identificar seus usuários, dispensando a necessidade de um cadastro específico no site. Com isso, o usuário não precisa criar uma senha diferente, nem validar o endereço de e-mail.

O site recebe algumas informações do Facebook para poder autorizar o login e saber que o usuário realmente existe, mas a conta da rede social permanece isolada da página. A senha também não é compartilhada, porque a autenticação é realizada por uma chave de acesso.

Kumar descobriu que era possível injetar um código nesse processo de troca de informações entre os sites e o Facebook. As instruções seriam executadas pelo navegador diretamente na página da rede social, quebrando o isolamento que deveria existir entre o site e o Facebook.

Esses códigos injetados na página do Facebook poderiam expor a chave de acesso geral da conta da vítima, que jamais deveria ser compartilhada.

Para inviabilizar esses ataques, o Facebook adicionou uma restrição que valida os códigos recebidos e bloqueia o que não fizer referência ao próprio Facebook.

Média de recompensas do Facebook é de US$ 1,5 mil

O Facebook possui um programa de recompensas para que pesquisadores independentes busquem brechas nos sistemas da rede social. Caso encontrem alguma vulnerabilidade, ela deve ser relatada em um canal específico e deve ser mantida em sigilo até que uma solução seja desenvolvida para não colocar os usuários em risco.

O valor da recompensa é decidido pelo próprio Facebook. Em geral, quanto maior for o impacto ou a sofisticação da brecha, maior será a cifra. Em 2019, a recompensa média foi de US$ 1,5 mi.

Até hoje, o maior pagamento do Facebook já divulgado por especialistas ou pela rede social foi de US$ 50 mil.

FONTE: G1

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *