| (Foto: reprodução) |
Tudo acontece com um sistema que permite que usuários que esqueceram suas senhas consigam acessar suas contas. O sistema é bem simples: você introduz seu e-mail ou número telefônico e, se houver uma conta associada, a senha é resetada, dando lugar a um código de seis números, que é enviado ao usuário em seu e-mail ou no telefone.
É um processo bem simples, e padrão, só que houve um problema na forma como a ferramenta funciona. Vamos supor que um cibercriminoso soubesse o endereço de e-mail de uma pessoa cadastrada no Facebook. Seria possível forçar a senha a ser resetada para um número PIN de seis algarismos. A partir deste momento, o hacker tem certeza de que a senha temporária daquela conta é um número razoavelmente curto.
Isso não seria problema se a ferramenta de login tivesse um limite de tentativas de acesso, e, de fato, o site facebook.com, tem esta segurança. O problema é que a rede social também é acessível no endereço beta.facebook.com, que não tinha esta proteção. Isso significa que o hacker poderia inundar a página com várias tentativas, com um intervalo minúsculo entre elas graças a um software dedicado, até que um dos números esteja correto. Basta um pouco de paciência.
O bug foi resultado de uma mudança feita alguns dias antes da descoberta de Prakash, e não há evidências de que houve algum tipo de ataque aproveitando a vulnerabilidade. Ele entrou em contato com o Facebook para relatar a falha, aproveitando o programa White Hat da rede social, que recompensa hackers que descobrem problemas e os remunera de acordo com seus relatórios. A empresa, assim, pode fechar a brecha antes que ela fosse explorada com fins maliciosos.
No caso de Prakash, a recompensa foi de US$ 15 mil, que é bastante alta para um bug tão simples. A questão é que, por mais básica que fosse a falha encontrada por ele, ela trazia um risco enorme para o Facebook, que poderia perder muito mais do que US$ 15 mil caso a falha fosse descoberta por agentes maliciosos. O prêmio foi pago oito dias depois do relatório ser enviado.
O programa de recompensa por bugs do Facebook já pagou US$ 4,3 milhões a hackers que encontraram vulnerabilidades em sua plataforma desde que foi implantado, em 2011. Foram mais de 800 pesquisadores premiados com valores que variam entre US$ 500 e US$ 30 mil.
Via The Verge
Via The Verge
Nenhum comentário:
Postar um comentário
Os comentários são pessoais, é não representam a opinião deste blog.
Muito obrigado, Infonavweb!