Um erro no Facebook permitia que invasores modificassem a senha de qualquer conta da rede social, garantindo acesso com facilidade a qualquer perfil. Entretanto, essa falha foi corrigida. A vulnerabilidade envolvia os domínios beta da plataforma que não possuíam os bloqueios de segurança necessários.
O bug foi descoberto pelo programador indiano Anand Prakash, que avisou ao Facebook no início de março e recebeu recompensa de US$ 15 mil (cerca de R$ 55 mil). A falha envolvia o sistema de redefinição de senhas da rede social. O usuário que esquecer seu código de acesso pode pedir a criação de outro diretamente na página de acesso do site.
Facebook tinha bug que permitia roubar contas de usuários em domínios beta (Foto: Melissa Cruz / TechTudo)
Quando isto acontece, o sistema manda uma mensagem de confirmação para o telefone cadastrado no perfil. Este código de seis dígitos deve ser inserido no site, mas há um limite aproximado de dez tentativas antes que este recurso seja bloqueado.
O problema, segundo Prakash, é que este recurso de bloqueio só está disponível no domínio principal do Facebook e não funciona em secundários como beta.facebook.com e mbasic.beta.facebook.com.
Na prática, significa que alguém poderia usar esta limitação para redefinir a s
... enha de qualquer usuário, já que o código de seis dígitos permite um milhão de combinações diferentes que podem ser tentadas até que uma delas funcione.
O relatório do bug foi enviado ao Facebook no dia 22 de fevereiro, mas só foi divulgado agora, depois de corrigido.
Facebook tinha bug que permitia roubar contas de usuários em domínios beta (Foto: Melissa Cruz / TechTudo)