Problema estava na integração da rede social que permite fazer login a partir de outros sites.
Sites e aplicativos podem ser integrados com o Facebook para dispensar cadastros, mas recurso não deve permitir acesso à conta do usuário. — Foto: Reuters
O pesquisador de segurança Vinoth Kumar revelou ter recebido US$ 20 mil (cerca de R$ 120 mil) do Facebook após relatar uma vulnerabilidade na integração do login do Facebook com outros sites na internet. A falha poderia ser explorada com um clique – o site falso só precisaria convencer a vítima a clicar no botão “Continuar com Facebook” – e permitiria a um hacker roubar a conta da vítima.
Kumar afirma que entrou em contato com o Facebook no dia 17 de abril para relatar os detalhes da brecha. Três dias depois, no dia 20 de abril, a rede social já havia modificado o código para inibir os ataques. No dia 1º de maio, o pesquisador recebeu sua recompensa, que supera em mais de dez vezes a média das recompensas do programa, que foi de US$ 1,5 mil em 2019.
Como o problema já está corrigido, os usuários não estão mais em risco. Não há qualquer registro de que a falha tenha sido explorada por hackers em ataques reais.
Entenda a falha
O recurso de “login com Facebook” ou “continuar com Facebook” permite que sites na internet usem o perfil da rede social para identificar seus usuários, dispensando a necessidade de um cadastro específico no site. Com isso, o usuário não precisa criar uma senha diferente, nem validar o endereço de e-mail.
O site recebe algumas informações do Facebook para poder autorizar o login e saber que o usuário realmente existe, mas a conta da rede social permanece isolada da página. A senha também não é compartilhada, porque a autenticação é realizada por uma chave de acesso.
Kumar descobriu que era possível injetar um código nesse processo de troca de informações entre os sites e o Facebook. As instruções seriam executadas pelo navegador diretamente na página da rede social, quebrando o isolamento que deveria existir entre o site e o Facebook.
Esses códigos injetados na página do Facebook poderiam expor a chave de acesso geral da conta da vítima, que jamais deveria ser compartilhada.
Para inviabilizar esses ataques, o Facebook adicionou uma restrição que valida os códigos recebidos e bloqueia o que não fizer referência ao próprio Facebook.
Média de recompensas do Facebook é de US$ 1,5 mil
O Facebook possui um programa de recompensas para que pesquisadores independentes busquem brechas nos sistemas da rede social. Caso encontrem alguma vulnerabilidade, ela deve ser relatada em um canal específico e deve ser mantida em sigilo até que uma solução seja desenvolvida para não colocar os usuários em risco.
O valor da recompensa é decidido pelo próprio Facebook. Em geral, quanto maior for o impacto ou a sofisticação da brecha, maior será a cifra. Em 2019, a recompensa média foi de US$ 1,5 mi.
Até hoje, o maior pagamento do Facebook já divulgado por especialistas ou pela rede social foi de US$ 50 mil.
G1 Por Altieres Rohr
Discussion about this post