2016/03/09

Hacker recebe $15000 por bug que permitia apoderar-se de qualquer conta do Facebook


Parece não haver software à prova de bugs. Um jovem indiano descobriu uma vulnerabilidade grave que permitiria que um hacker se apoderasse da conta de qualquer utilizador do Facebook, e isso valeu-lhe 15 mil dólares de recompensa do Facebook.

Na escala de gravidade, uma falha que permita a um hacker apoderar-se da conta de qualquer utilizador estará perto da gravidade máxima; e a falha que Anand Prakash descobriu é até bastante simples.

Todos os serviços implementam uma forma de permitir que um utilizador recupere o acesso à sua conta no caso de se esquecer da password. No Facebook isso é feito pedindo um código de 6 dígitos que é enviado para o email ou telemóvel do utilizador; e para evitar abusos, existe um limite que bloqueia novas tentativas de acesso ao fim de uma dezena de tentativas erradas.

Mas Anand decidiu testar o que se passava se efectuasse o mesmo processo usando os sites beta do Facebook (beta.facebook.com e mbasic.beta.facebook.com) e, para sua surpresa, descobriu que aí não existia nenhum limite de tentativas, o que permitia que uma ferramenta automatizada simplesmente fosse experimentando todos os códigos possíveis até acertar, e assim conseguindo total acesso à conta de qualquer utilizador.

Anand revelou esta falha ao Facebook no passado dia 22 de Fevereiro, tendo sido prontamente corrigida logo no dia seguinte. A recompensa chegou cerca de uma semana mais tarde, no valor de 15 mil dólares.


Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]