A violação de segurança que foi descoberta pelos engenheiros do Facebook (NASDAQ: FB) em 25 de setembro permitiu que os invasores assumissem o controle direto das contas de usuários; cerca de 50 milhões deles para ser exato.
A mais recente violação de segurança do Facebook
Além dos 50 milhões, o Facebook também disse que havia outras 40 milhões de contas potencialmente vulneráveis. Tudo dito, a empresa registrou 90 milhões de contas para evitar mais danos.
$config[code] not foundEm uma atualização de segurança, o Facebook admitiu que o ataque conseguiu explorar a complexa interação de vários problemas em seu código. Isso veio de uma mudança que a empresa fez em seu recurso de upload de vídeo em julho de 2017, afetando o recurso "Visualizar como".
O Facebook disse: "Os invasores não só precisaram encontrar essa vulnerabilidade e usá-la para obter um token de acesso, mas também tiveram que passar dessa conta para outros para roubar mais tokens".
Esse ataque não poderia ter acontecido em pior hora no Facebook. A empresa está tentando aumentar sua segurança antes das próximas eleições de meio-período e, ao mesmo tempo, tentando se recuperar do fiasco da Cambridge Analytica, no qual dados de cerca de 87 milhões de usuários foram compartilhados com uma agência de consultoria política.
O recurso de exibição como
O recurso Exibir como permite que os usuários vejam como um perfil é visto por outras pessoas.
Os invasores conseguiram explorar três falhas ou erros no recurso "Visualizar como". Na mesma atualização de segurança, Pedro Canahuati, vice-presidente de engenharia, segurança e privacidade, listou essas falhas da seguinte forma:
- Ver Como forneceu incorretamente a oportunidade de postar um vídeo.
- Uma nova versão do uploader de vídeo (a interface que seria apresentada como resultado do primeiro bug), lançada em julho de 2017, gerou incorretamente um token de acesso que tinha as permissões do aplicativo móvel do Facebook.
- Quando o uploader de vídeo apareceu como parte do View As, ele gerou o token de acesso NÃO para o visualizador, mas para o usuário que o visualizador estava pesquisando.
O Facebook informou que desativou temporariamente o recurso View As enquanto conduz uma revisão de segurança.
Truque Facebook para emitir tokens de acesso
Com essa vulnerabilidade, os invasores conseguiram enganar o Facebook para que eles emitissem tokens de acesso. Isso deu a eles acesso a contas de usuários como se fossem o usuário.
Eles também tinham acesso a serviços que o usuário poderia ter registrado para usar o Facebook, como Airbnb, Spotify, Tinder ou outros aplicativos e jogos.
O Facebook redefiniu os tokens de acesso das 50 milhões de contas afetadas, além das 40 milhões de contas adicionais que podem ter sido vulneráveis.
Se a sua conta foi um dos 90 milhões afetados por este incidente, você será solicitado a fazer o login novamente no Facebook e em todas as contas vinculadas.
Quem é responsável?
Guy Rosen, vice-presidente de gerenciamento de produtos do Facebook, disse que a empresa notificou a aplicação da lei e está trabalhando com o FBI.
Quanto a quem é o responsável, Rosen continua dizendo que é difícil descobrir quem estava por trás do ataque, acrescentando que "talvez nunca saibamos".
Imagem: Facebook
3 Comentários ▼
