Um link malicioso era o suficiente para roubar uma conta no Facebook — foi assim por muito tempo, até a rede social corrigir essa falha durante as últimas semanas. O pesquisador de segurança “Samm0uda” descobriu uma vulnerabilidade crítica de falsificação de solicitação entre sites (CSRF) e alertou a equipe de Mark Zuckerberg sobre o problema; como recompensa, embolsou US$ 25 mil via programa de bug bounty.
A falha foi encontrada em um endpoint (facebook.com/comet/dialog_DONOTUSE/) que poderia ser explorado para burlar as proteções de CSRF. “Isso é possível por causa de um endpoint vulnerável que recebe outro endpoint do Facebook selecionado pelo invasor junto com os parâmetros e faz uma solicitação POST para esse endpoint depois de adicionar o parâmetro fb_dtsg . Também, este endpoint está localizado sob o domínio principal www.facebook.com, o que torna mais fácil para o atacante enganar suas vítimas para visitar a URL”, escreve Samm0uda.
O Facebook corrigiu a vulnerabilidade no dia 31 de janeiro
O que tudo isso significa? No final das contas, bastava que algum hacker malicioso enganasse uma vítima ao enviar um link. Caso a vítima clicasse no link, a conta poderia ser acessada por este terceiro.
“Para roubar a conta, precisamos adicionar um novo endereço de email ou número de telefone à conta da vítima. O problema aqui é que a vítima tem que visitar duas URLs separadas, uma para adicionar o email/telefone e outra para confirmá-lo porque os endpoints "normais" usados para adicionar emails ou números de telefone não têm um parâmetro "next" para redirecionar o usuário após uma solicitação bem-sucedida", explica o pesquisador. Ou seja: com o parâmetro ‘next’ presente, apenas um link é necessário. Você pode acessar todos os detalhes clicando aqui.
Como se proteger deste tipo de ataque? Neste caso, cibersegurança básica, já que dificilmente algum software impediria sua conta de ser roubada. Isso significa que não é interessante entrar em qualquer link que você receba, principalmente de usuários não conhecidos. Evite também entrar em links encurtados, aqueles links que escondem qual é o domínio real do site enviado.
- Caso tenha mais dúvidas, você sempre pode checar mais notícias sobre cibersegurança clicando aqui
