/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2018/y/2/g1AK1GTC6pny0tvQBWrQ/1-pesquisador-que-criou-o-aplicativo-que-coletou-os-dados-dos-usuarios-do-facebook-diz-que-cambridge-analytica-assegurou-que-o-trabalho-nao-tinha-nada-de-ilegal.jpg)
Sites e aplicativos podem ser integrados com o Facebook para dispensar cadastros, mas recurso não deve permitir acesso à conta do usuário. — Foto: Reuters
O pesquisador de segurança Vinoth Kumar, revelou em nota ter recebido US$ 20 Mil (Aproximadamente R$120.000,00 reais) do Facebook, após ter encontrado uma falha na integração do Login do Facebook com outros sites na internet.
A invasão no login dos usuários poderia acontecer facilmente com apenas um clique – O site fake só precisaria de um simples passo: Convencer a vítima a clicar no botão “Continuar com Facebook” assim dava permissão ao hacker de roubar a conta da vítima.
Kumar afirma que entrou em contato com o Facebook no dia 17 de abril para informar os detalhes da falha de segurança. Três dias depois, no dia 20 de abril, a rede social já havia modificado o código para inibir os ataques. No dia 1º de maio, o pesquisador recebeu sua recompensa, uma quantia aproximada em R$ 120.000,00 reais, que supera em mais de dez vezes a média das recompensas do programa do Facebook, que foi de US$ 1,5 mil em 2019.
Como o problema já foi corrigido, os usuários não correm mais riscos de invasão. Não há qualquer registro de que a falha tenha sido explorada por hackers em ataques reais.
Entendendo a falha:
A opção de “Login com Facebook” ou “Continuar com Facebook” permite que os sites na internet usem o perfil da rede social da vítima para identificar seus usuários, eliminando a necessidade de um cadastro específico no site. Com isso, os usuários não precisam criar uma senha diferente, nem validar um endereço de e-mail, pois, a vítima fez tudo isso com apenas um clique. O site recebe informações do facebook para poder autorizar o login e saber se o usuário realmente existe, mas a conta do facebook permanece isolada da página. A senha também não é compartilhada, porque a autenticação é feita por uma chave de acesso.
O pesquisador descobriu também que era possível injetar um código nesse processo de troca de informações entre os sites e o Facebook. Assim as instruções seriam executadas pelo navegador diretamente na página da rede social, quebrando o isolamento que deveria existir entre o site e o Facebook.
Esses códigos injetados na página do Facebook poderiam expor a chave de acesso geral da conta da vítima, que jamais deveria ser compartilhada.
Programa de recompensas
O Facebook tem um programa de recompensas para que pesquisadores independentes busquem brechas nos sistemas da rede social. Caso encontrem alguma vulnerabilidade, ela deve ser relatada em um canal específico do facebook e deve ser mantida em sigilo até que uma solução seja desenvolvida para não colocar os usuários em risco.
O valor da recompensa é decidido pelo próprio Facebook. Em geral, quanto maior for o impacto ou a sofisticação da falha, maior será a recompensa. Em 2019, a recompensa média foi de US$ 1,5 mi.
Até hoje, o maior pagamento do Facebook já divulgado por especialistas ou pela rede social foi de US$ 50 mil.
E você já garantiu a segurança do seu negócio? Em tempos de Home Office os ataques tem crescido muito e você precisa garantir a segurança da sua empresa! Não perca mais tempo, entre em contato agora com a TND Brasil e fique tranquilo.
Fontes:
