Breaking News
Prefeitura inicia discussões do Plano Inverno 2025
Vacinação de funcionários da Comdep tem aplicação de doses na Posse e no Duarte da Silveira
Prefeitura participa das ações de comemoração do Dia de Nossa Senhora de Fátima
Prazo para entrega da Declan-IPM termina no dia 20
Petrópolis tem uma nova referência para tratamento de glaucoma

Vulnerabilidade no Facebook possibilitou invasão a diversos perfis, revela ISH Tecnologia 

Vulnerabilidade no Facebook possibilitou invasão a diversos perfis, revela ISH Tecnologia 

Companhia detalha a falha, que permitiu a tomada de contas pessoais dos usuários em uma das principais redes sociais do mundo 

A ISH Tecnologia, referência nacional em cibersegurança, revela em um boletim detalhes sobre uma vulnerabilidade do Facebook. O bug, denominado “0-Click”, possibilitou invasores digitais a tomarem posse da conta de qualquer usuário da rede social.

O processo de invasão ocorria, por meio, da solicitação de redefinição de senha e toda a etapa que envolvia a criação de um novo código para login no aplicativo. Entretanto, graças a um caçador de recompensas do Nepal, conhecido como “Samyp Arial”, o erro foi corrigido.

A fim de compreender e solucionar a vulnerabilidade na mídia digital, Samyp passou a estudar métodos digitais de desinstalação e reinstalação do aplicativo. Além disso o nepalês descobriu algumas características peculiares referente ao processo de redefinição de senha e suas indicações. Na ocasião, o Facebook possibilitava a criação de uma nova senha por notificação e era, por meio dessa operação que a invasão de contas ocorria.
 

Passo a Passo de como eram realizadas as invasões:

  • Escolher qualquer conta do Facebook;
  • Tentar realizar o login com o usuário e solicitar uma redefinição de senha
    (Esqueci a senha).
  • Entre as opções de redefinição disponíveis, escolher “Enviar código via
    notificação do Facebook”.
  • Isso cria uma solicitação POST. Como parte de uma solicitação POST, uma
    quantidade arbitrária de dados de qualquer tipo pode ser enviada ao
    servidor no corpo da mensagem de solicitação.
  • Copiar a solicitação POST e usar um método para testar todas as 100.000
    possibilidades. (Observe que 100.000 possibilidades podem parecer muito,
    mas dado o período de duas horas, existem muitas opções).
  • O código correspondente responde com um código de status 302, um
    redirecionamento que confirma que a pesquisa foi bem-sucedida.
  • Utilizar o código correto para redefinir a senha da conta, assim o invasor poderá
    agora assumir o controle da conta.

Após analisar o processo de redefinição de senhas, Samyp afirmou que o método utilizado por invasores para acessar os perfis dos usuários era simples, e se baseava exclusivamente na redefinição de senha por notificação. Desse modo, Arial comunicou ao Facebook sobre a falha, e a rede social logo corrigiu o problema. Como forma de retribuir ao nepalês, a plataforma online o recompensou.

A ISH Tecnologia, devido ao ocorrido, destaca alguns pontos em que os usuários das redes sociais precisam se atentar, com o objetivo de evitar situações como essa:

  • Prestar atenção aos sinais de que uma solicitação de senha foi iniciada;
  • Não utilizar a opção de login do Facebook em outras plataformas;
  • Ativar a autenticação de dois fatores (2FA) para o Facebook.
Compartilhe!

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.