O caso foi revelado no último dia 17 de abril, pelo especialista em segurança Ahmad Talahmeh. Um erro no código do Facebook permitia que invasores excluíssem lives (transmissões ao vivo) da plataforma sem que o dono da conta soubesse.
O pesquisador explicou que a vulnerabilidade permitia que os vídeos ao vivo fossem apagados como se a ação fosse feita pelo próprio proprietário da página.
Na realidade, o erro faz com que o vídeo tenha sua duração cortada para cinco milissegundos, segundo Talahmeh. “Cortar o vídeo para cinco milissegundos fará com que ele tenha 0 segundo de duração e o proprietário não será capaz de desfazê-lo”, disse o especialista.
Problema corrigido
As lives, no Facebook e em outras plataformas, ganharam força durante a pandemia da Covid-19, tanto por usuários comuns, quanto por empresas, organizações e influenciadores. Após uma transmissão ser encerrada, o dono da página pode editar o vídeo para implementar cortes. Essa ferramenta era explorada pelos golpistas. Para isso eles precisavam apenas conseguir obter do ID da live.
Após a descoberta, em 25 de setembro de 2020, problema foi analisado pelo Facebook e corrigido. Como recompensa, Talahmeh recebeu US$ 11 mil pelo BountyCon e outros quase US$ 5 mil do próprio Facebook. O caso só veio a público após a rede social lançar um patch para arrumar o problema.
Além das lives, o especialista ainda indicou um outro erro de segurança no Facebook. A rede social lançou um sistema para ajudar negócios a se adaptarem a pandemia. Na página passa a ser possível indicar de forma mais clara os horários de funcionamento, pontos de entrega e lojas físicas de produtos. No entanto, o update para essa página especial e suas configurações poderia ser feito por quem possui permissão de analista, que normalmente poderia apenas ler o conteúdo, e não alterar. Essa segunda falha também foi corrigida.
Via ZDNET
Imagem: vichie81/Pixabay/CC