AmpliarIlustração simples explicando o funcionamento da vulnerabilidade (Fonte da imagem: Reprodução/Arul Kumar Blog)
O especialista em segurança Arul Kumar afirma ter recebido nada menos do que US$ 12,5 mil como recompensa após ter denunciado uma vulnerabilidade gravíssima aos engenheiros responsáveis pelo Facebook. O indiano encontrou um método inacreditavelmente simples de apagar fotos de qualquer usuário da rede social sem que o próprio percebesse – a falha era tão crítica que Kumar resolveu gravar um vídeo explicando como o truque funciona.
A primeira etapa para explorar o bug era criar uma solicitação para que os moderadores do Facebook removessem uma imagem qualquer, não necessariamente de sua vítima. Como a fotografia visada não será apagada pela equipe da rede social (por não conter conteúdos ofensivos), você será aconselhado a enviar uma mensagem para que o utilizador remova a imagem por si mesmo.
Aí que está o golpe: tal mensagem, por padrão, possui uma URL que será enviada ao dono da foto para que o próprio delete-a automaticamente. O problema é que você pode editar esse link manualmente, trocando os valores “profile_id” e “photo_id” – que correspondem, respectivamente, ao usuário que receberá a mensagem e ao código de identificação da imagem a ser apagada.
Você já deve ter entendido: basta inserir o profile_id de um segundo perfil seu e o photo_id do arquivo que você realmente planeja deletar. No fim, você mesmo receberá a URL de exclusão e poderá apagar a imagem sem que seu verdadeiro dono perceba.
Recompensa digna
É interessante observar que o valor oferecido pelo Facebook para qualquer pessoa que encontre uma vulnerabilidade na rede social costuma ficar na média de US$ 1,5 mil, mas Kumar conseguiu levar US$ 11 mil extras para casa – com base nisso, você pode entender o quão grave era a falha encontrada. Com o bug devidamente consertado, o especialista fez questão de postar detalhes sobre a aventura em seu blog pessoal. Caso queira ler o relatório na íntegra, basta clicar neste link.
Fontes
Categorias
