O engenheiro indiano Anand Prakash levou para casa US$ 15 mil (ou cerca de R$ 55,5 mil) após reportar ao Facebook uma grave falha apresentada pela versão para desenvolvedores da rede social (beta.facebook.com). A vulnerabilidade era apresentada durante o processo de redefinição de senha, quando um PIN de acesso temporário era solicitado pelo usuário.

Como as contas comuns existem também no Facebook em versão Beta, o acesso aos perfis de internautas de todo o mundo podia ser feito a partir das sugestões de senha feitas por um programa.“Eu podia ver mensagens, acessar dados de cartões armazenados na seção de pagamentos, fotos pessoais...”, explicou Prakash em seu blog. O relatório sobre os detalhes quanto à falha foi enviado pelo engenheiro no dia 22 de fevereiro ao Facebook; o problema foi consertado no dia 2 deste mês.

Na versão para desenvolvedores, a rede social não impunha limite sobre a quantidade de vezes que o código de seis dígitos podia ser informado – era suficiente, assim, rodar um programa de força bruta para que as combinações possíveis sobre um PIN de base fossem feitas e, por tentativa e erro, autenticar a senha de acesso.

“Uma simples vulnerabilidade encontrada no Facebook poderia ser usada para que as contas de usuários do mundo todo fossem hackeadas facilmente, sem a interação com outro internauta. Isso me deu acesso total a contas de outros usuários a partir da alteração de senha”, comentou Prakash.

“Estamos felizes por reconhecer e recompensar Anand pelo seu excelente relatório”, publicou a empresa de Mark Zuckerberg. Desde 2011, ano em que o programa de pagamento por bugs descobertos foi lançado, US$ 4,3 milhões (quase R$ 16 milhões) já foram desembolsados pelo Facebook para a recompensa de mais de 800 pesquisadores.

...

Com que frequência você altera sua senha do Facebook? Comente no Fórum do TecMundo