O pesquisador de segurança e hacker Dan Melamed descobriu, na metade do ano passado, uma brecha que permitia que ele deletasse qualquer vídeo postado por usuários e páginas no Facebook. Ao reportar seu achado para a rede social, o rapaz foi premiado com uma recompensa no valor de US$ 10 mil, o que equivale a aproximadamente R$ 31.638, em conversão direta.
O método usado por Melamed é relativamente simples e dependia basicamente de um trecho de URL que o Facebook expunha quando o pesquisador ia fazer o upload de um vídeo qualquer para uma página da qual era dono. Ao enviar uma gravação genérica para a rede social, o hacker interceptou a solicitação de postagem feita e conseguiu copiar o seguinte parâmetro:
composer_unpublished_photo[0]=
A parte em que aparece escrito “Video ID” é referente ao código de identificação do vídeo que Melamed estava upando – e é aqui que está o segredo da coisa. Com esse trecho de código em mãos, o pesquisador podia livremente mudar o ID, colando a identificação de qualquer outra gravação que já estivesse no ar no Facebook e dado prosseguimento ao upload.
Controle total
Uma vez feito isso, a rede social exibiria uma mensagem de erro, mas o processo seria concluído mesmo assim. A partir desse momento, Melamed passava a ter controle total sobre o vídeo enviado, podendo fazer tudo o que poderia se ele mesmo tivesse acabado de fazer o upload da gravação. Dessa forma, ele poderia mexer nas configurações para desabilitar comentários ou até mesmo deletar o vídeo completamente.
Depois de receber a explicação da brecha do pesquisador, o Facebook agiu rapidamente e já eliminou a falha, mas não se sabe se algum hacker malicioso já havia descoberto a possibilidade antes e se aproveitado dela. Seja como for, a ideia de que é possível ganhar US$ 10 mil por algo assim é realmente interessante.
Fontes
Categorias