Um hacker da Índia revelou como encontrou uma maneira de invadir qualquer perfil do Facebook, antes de alertar a rede social a respeito do problema e ser recompensado por seu trabalho.
Anand Prakash trabalha como engenheiro de segurança em Bangalore, e postou em seu blog um texto chamado “Como eu poderia ter invadido todas as contas do Facebook,” detalhando como ele descobriu uma maneira de explorar a seção “esqueceu sua senha?” do site e entrar em qualquer conta.
A seção para recuperação de senhas funciona da seguinte maneira: se você esquece as suas informações de login, o site envia por email ou mensagem de texto um código de verificação para que você ganhe acesso ao seu perfil novamente. Para proteger este processo dehackers, o Facebook usa uma função que limita o número de tentativas de acessar o site usando o código enviado.
Isso impede que os hackers usem o que é conhecido como “ataque de força bruta,” utilizando um software para entrar números continuamente no sistema até acertar o código correto.
O que Prakash descobriu é que ossites betado Facebook não estavam com esta função ativada, dando ao usuário um número infinito de tentativas de fazer login. Foi assim que ele conseguiu entrar.
As consequências, caso isso viesse a acontecer de verdade, seriam imensas, principalmente considerando a quantidade de detalhes que são armazenados nos perfis do Facebook – que em muitos casos incluem informações de pagamento.
Após ter descoberto a fragilidade, Prakash diz que informou ao Facebook no dia 22 de fevereiro. Em 2 de março ele recebeu U$ 15 mil (R$ 54 mil) da rede social por ter alertado a respeito do problema.
O Facebook não confirmou o incidente oficialmente, mas imagens presentes no blog de Prakash sugerem que a comunicação realmente ocorreu, e recompensas em casos semelhantes já foram oferecidas pela empresa de Mark Zuckerberg no passado.
SNAPPA Technology
