O Facebook corrigiu uma vulnerabilidade em sua função de enquetes que permitia que uma pessoa pudesse apagar qualquer foto postada por outra conta na rede social sem sua autorização, mesmo aquelas que só podem ser vistas por usuários autorizados. A falha envolve uma manipulação nos dados enviados ao servidor durante a criação de uma enquete e foi descoberta pelo pesquisador de segurança Pouya Darabi e reportada à plataforma no início de novembro.

Facebook ganha novas enquetes com GIFs (Foto: Tainah Tavares / TechTudo)

Quando um usuário cria uma enquete com imagens no seu perfil de Facebook, o servidor recebe um pedido que inclui a ID do arquivo. Ao manipular esse dado, Darabi conseguiu associar qualquer conteúdo postado por outras pessoas no seu post apenas enviando a ID correspondente a ele.

O truque funcionou mesmo quando o arquivo estava protegido — só para amigos ou para contatos específicos na rede social. Em seguida, bastava apagar completamente a enquete para que a rede social deletasse, também, as imagens associadas, o que acontecia sem o consentimento do dono.

... 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">

Mudança no código permitia carregar qualquer foto em enquete (Foto: Reprodução/Pouya Darabi)

US$ 10 mil de prêmio

Ainda não se sabe se a falha foi explorada por hackers ou qualquer pessoa mal intencionada para apagar fotos, GIFs ou vídeos de outras pessoas sem o seu consentimento. Entretanto, a chance de isto ter ocorrido é baixa, uma vez que o recurso foi liberado para os usuários há pouco tempo.

O bug foi reportado à plataforma de rede social no dia 3 de novembro e, na mesma data, foi implementada uma solução temporária para contornar o bug. A correção permanente do problema ocorreu dois dias depois. Por ter descoberto e informado a falha, Darabi recebeu um prêmio de US$ 10 mil (cerca de R$ 32 mil) como parte do programa de recompensas do Facebook.

Qual recurso o Facebook poderia dispensar? Comente no Fórum do TechTudo.



>>> Veja o artigo completo no TechTudo