Um especialista em segurança digital descobriu uma falha bem grave no Facebook. De acordo com Laxman Muthiyah, a rede social estava com um bug que permitia o acesso a fotografias privadas, mesmo sem senhas de acesso ou autorizações enviadas pelo verdadeiro proprietário. O problema acontecia por causa de um erro na programação do recurso de sincronização de fotos — que envia fotos do smartphone automaticamente para as nuvens.
Vale dizer que não se tratavam das fotografias postadas, mas sim das que são sincronizadas privativamente no app. Para o site The Hacker News, Muthiyah diz que um app malicioso poderia tomar poder do Sync para ler todas as fotos privadas em questão de segundos. Ele ainda vai além: “Ele checava apenas o token de acesso, não a aplicação que estava fazendo a requisição. Então ele permitia que qualquer aplicação com a permissão ‘user_photos’ tivesse acesso às imagens”.
Assim que descobriu as falhas, Muthiyah entrou em contato com o Facebook por meio das centrais de desenvolvimento e segurança. Por causa do alerta, o especialista em segurança recebeu uma recompensa de US$ 10 mil. Os engenheiros da rede social precisaram de cerca de 30 minutos para fazer com que as correções necessárias fossem criadas e aplicadas. Ou seja, tudo está seguro novamente.
Essa não foi a primeira vez que Laxman Muthiyah ganhou dinheiro encontrando erros no Facebook. Pouco tempo atrás, ele recebeu US$ 12.500 por alertar a rede social sobre um bug que permitia aos usuários apagarem qualquer álbum dos perfis alheios. Assim como o erro mostrado hoje, o anterior também se aproveitava de tokens de segurança emulados a partir da Graph API oficial.
Fontes
Categorias