){kind=small}
Um especialista em segurança digital descobriu uma falha bem grave no Facebook. De acordo com Laxman Muthiyah, a rede social estava com um bug que permitia o acesso a fotografias privadas, mesmo sem senhas de acesso ou autorizações enviadas pelo verdadeiro proprietário. O problema acontecia por causa de um erro na programação do recurso de sincronização de fotos — que envia fotos do smartphone automaticamente para as nuvens.
Nossos vídeos em destaque
Vale dizer que não se tratavam das fotografias postadas, mas sim das que são sincronizadas privativamente no app. Para o site The Hacker News, Muthiyah diz que um app malicioso poderia tomar poder do Sync para ler todas as fotos privadas em questão de segundos. Ele ainda vai além: “Ele checava apenas o token de acesso, não a aplicação que estava fazendo a requisição. Então ele permitia que qualquer aplicação com a permissão ‘user_photos’ tivesse acesso às imagens”.
Assim que descobriu as falhas, Muthiyah entrou em contato com o Facebook por meio das centrais de desenvolvimento e segurança. Por causa do alerta, o especialista em segurança recebeu uma recompensa de US$ 10 mil. Os engenheiros da rede social precisaram de cerca de 30 minutos para fazer com que as correções necessárias fossem criadas e aplicadas. Ou seja, tudo está seguro novamente.
Essa não foi a primeira vez que Laxman Muthiyah ganhou dinheiro encontrando erros no Facebook. Pouco tempo atrás, ele recebeu US$ 12.500 por alertar a rede social sobre um bug que permitia aos usuários apagarem qualquer álbum dos perfis alheios. Assim como o erro mostrado hoje, o anterior também se aproveitava de tokens de segurança emulados a partir da Graph API oficial.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
