Pouco tempo depois de ser vítima de um hacker que vazou dados de mais de 500 milhões de usuários do Facebook, a rede social, agora, tem que encarar uma nova falha de segurança, que pode prejudicar a vida de boa parte de seus 2,8 bilhões de usuários. Um pesquisador descobriu uma vulnerabilidade de front-end no aplicativo e, em cima dela, criou uma ferramenta que pode fazer um verdadeiro estrago em quem usa a rede social.

Chamada de Facebook Email Search v1.0, a ferramenta pode vincular até 5 milhões de endereços de e-mail às contas de usuários do Facebook. O responsável por descobrir a nova vulnerabilidade não teve seu nome revelado, mas, em declaração ao site Ars Technica, revelou ter tentado avisar aos responsáveis pela empresa de Mark Zuckerberg antes de, efetivamente, vazar o problema publicamente.

“Acredito que seja uma vulnerabilidade bastante perigosa, e gostaria de ajudar a impedir isso”, simplificou, após ter divulgado um vídeo expondo o problema, e assegurado que, ao procurar o Facebook, recebeu como resposta que a empresa não achava que o exploit era “importante o suficiente para ser corrigido”.

A nova falha

O leaker responsável pelo vazamento detalhou como descobriu a falha de segurança do Facebook e o processo realizado para descobrir milhões de endereços de e-mail e seus respectivos usuários na plataforma. “Como você pode ver no registro de saída aqui, estou obtendo uma quantidade significativa de resultados com eles”, disse o pesquisador enquanto o vídeo mostrava a ferramenta processando a lista de endereços. “Gastei talvez US$ 10 para comprar mais de 200 contas do Facebook. E, em três minutos, consegui fazer isso para 6.000 contas [de e-mail]”, pontuou, como mostra a imagem abaixo.

Reprodução/Ars Technica

“Então, o que eu gostaria de demonstrar aqui é uma vulnerabilidade ativa no Facebook, que permite que usuários mal-intencionados consultem endereços de e-mail dentro do Facebook e tenham o retorno do Facebook, quaisquer usuários correspondentes. Atualmente, ele está sendo usado para comprometer contas do Facebook com o objetivo de controlar grupos de páginas e contas de publicidade do Facebook para, obviamente, ganho monetário. Isso não é apenas uma grande violação de privacidade, mas resultará em um novo, outro grande despejo de dados, incluindo e-mails, que vai permitir que partes indesejáveis possam ter acesso a dados pessoais, como telefones e mais. Estou muito feliz em demonstrar a vulnerabilidade de front end para que você possa ver como isso funciona”, complementou.

Resposta do Facebook

Depois de dizer que a falha “não era importante”, o Facebook resolveu reconhecer o erro e admitir que a vulnerabilidade poderia, de fato, comprometer a segurança dos usuários. “Parece que fechamos erroneamente este relatório de recompensa por bug antes de encaminhá-lo para a equipe apropriada. Agradecemos o pesquisador por compartilhar as informações e estamos tomando as medidas iniciais para mitigar esse problema enquanto fazemos o acompanhamento para entender melhor suas descobertas”, comentou um porta-voz do time de Mark Zuckerberg.

Essa é apenas mais uma entre as muitas falhas de segurança que o Facebook tem apresentado ultimamente. Neste mesmo mês de abril, o especialista em segurança Ahmad Talahmeh revelou ter descoberto um erro que permitia que invasores excluíssem lives (transmissões ao vivo) da plataforma sem que o dono da conta soubesse.

O pesquisador explicou que a vulnerabilidade permitia que os vídeos ao vivo fossem apagados como se a ação fosse feita pelo próprio proprietário da página. Na realidade, o erro faz com que o vídeo tenha sua duração cortada para cinco milissegundos, segundo Talahmeh. “Cortar o vídeo para cinco milissegundos fará com que ele tenha 0 segundo de duração e o proprietário não será capaz de desfazê-lo”, disse o especialista. O erro foi identificado e prontamente corrigido pelo Facebook que, agora, terá mais uma falha de segurança para tentar consertar.

Via Apple Insider

Imagem: Gerd Altmann/Pixabay/CC