O Facebook revelou uma falha que pode ser usada por hackers para tomar conta de perfis de qualquer usuário da rede por meio de mensagens SMS em menos de 60 segundos. A empresa também premiou o autor da descoberta com US$ 20 mil.

Jack Whitton, desenvolvedor britânico conhecido na rede como Fin1te, apresentou a vulnerabilidade à equipe do Facebook no dia 23 de maio. Apenas cinco dias depois, o Facebook reconheceu o problema em seu relatório de erros e afirmou a ele que o problema havia sido resolvido. Na última quarta-feira, 29 de junho, o programa do Facebook que recompensa pesquisadores responsáveis por trazer à tona esse tipo de falha discretamente à empresa (antes de divulgar aos usuários e desenvolvedores) agradeceu Whitton por “tornar o Facebook mais seguro”. Essa política é chamada de Facebook Bug Bounty Program.

A vulnerabilidade era relacionada ao número de telefone associado à conta do Facebook. “Isso permite o recebimento de atualizações vai SMS e também significa que você pode fazer login usando o número em vez do endereço de seu e-mail”, esclarece Whitton em seu blog, onde detalhou o caso.

Graças à falha na maneira como a página php do Facebook realiza as confirmações com SMS, entretanto, Whitton identificou um ataque em apenas dois passos que permitia a ele associar qualquer número de telefone com o perfil de qualquer usuário do Facebook para iniciar a redefinição de uma nova senha, dando ao desenvolvedor acesso completo à conta do usuário atingido. O verdadeiro dono da conta, enquanto isso, não teria o menor indício de que o hacker estaria com acesso a seu perfil até que ele tentasse fazer o login sem sucesso.

O mecanismo de Whitton tira vantagem da ativação do Facebook por textos móveis. Nos Estados Unidos, essa função acontece ao enviar uma mensagem SMS com a palavra fb para o número 32654, mas o procedimento varia de acordo com cada país. Depois de alguns instantes, o Facebook envia um SMS de volta ao destinatário com um código de oito caracteres usados para entra na página de configurações móveis no site antes que o número de telefone se torne ativo.

O ataque envolve a modificação do código usado nessas configurações antes que seja enviado de volta ao Facebook. Particularmente, ele descobriu que poderia mudar o elemento “profile_id” – referente ao número público de ID de cada conta – de absolutamente qualquer perfil. Depois de enviado o formulário, o Facebook iria associar o número do hacker à conta-alvo.

Depois disso, ele poderia usar a ferramenta de ‘resetar’ a senha para pedir uma nova confirmação de código para o aparelho celular via SMS autorizado a receber as informações da conta. Esse código, então, era enviado para a tela do Facebook e a senha da conta atacada era mudada de acordo com a escolha do autor do ataque. A esse ponto, o hacker teria ganhado controle da conta.

“A recompensa relacionada a esse bug foi de US$ 20 mil, claramente demonstrando a severidade do problema”, afirmou Whitton. A correção do Facebook, contudo, foi simples: “O Facebook respondeu apenas com o fim da aceitação do parâmetro profile_id do usuário para esse procedimento”, completou.

Assim como a bonificação de Whitton sugere, a descoberta de vulnerabilidades de softwares pode solucionar grandes bugs, não só do Facebook. A Microsoft revelou, no início deste mês, o valor máximo de US$ 100 mil para a descoberta de “novas técnicas de explorar vulnerabilidades”.

Por mais que isso seja uma quantia substancial em dinheiro, a realidade é que estamos lidando com um mercado aberto – o undergroud do cibercrime – de vulnerabilidades que podem render muito mais. “Aposto que esse bug vale muito mais que US$ 20 mil, mas ainda é uma boa quantia para receber em cima de falhas descobertas”, afirmou um pesquisador de falhas de Dublin conhecido por Security Ninja, por meio de sua conta no Twitter, sobre história de Whitton.

Por outro lado, revelar a falha ao Facebook em vez de publicá-la em comunidade de cibercriminosos pode significar o reconhecimento público do papel de ciberativistas na responsabilidade de corrigir falhas. Isso pode render uma boa carreira para alguém como Whitton, que trabalha como engenheiro de segurança durante o dia e, à noite, mantém uma carreira independente como pesquisador de segurança da informação. Ele ganha a vida testando aplicações web e revisando códigos para bugs.

  • Cristiano Ramos

    Aqui no Brasil se vc detecta um erro e reposta, é capaz de ser preso por invasão, ou ganha uma bola de futebol e um bóton com a cara do Presidente

    • Evandro Luis Antonio

      rsrs… Tem toda razão….

    • Kleber E. Alvarenga

      Boa!! rsrs … O pior é que é verdade mesmo.

      Kleber Alvarenga
      Consultor de Sistema ERP.

    • david

      você tem razão, o face foi feito para ser rackeado. é um sistema baseado em regras e isso incrui falhas gravissimas. se uma pessoa invade o face de outra não significa que ela seja mal carater, significa que ela seja curiosa. o carater estar em outra dimensão do conhecer-te a ti mesmo.

      • Rafael

        Cara, vc ta confundindo tudo. Não importa qual motivo vc tem para invadir uma conta pessoal de outra pessoa, aqui e em qualquer lugar do mundo vc leva processo nas costas e não é certo. Para descobrir um problema com facebook não precisa invadir contas de outros, da para vc fazer isso em sua conta mesmo. E não ache que invadir conta de outros é certo só por conhecimento ou curiosidade ou qualquer outro motivo, vc pode até ser preso.

  • gabriel

    hum puxa saco

  • gabriel

    ei parece meu irmao mas por um lado vc tem certeza

  • http://www.youtube.com/welingtoninfo Welington Tutoriais

    Vou começar a procurar falhas também.
    http://www.youtube.com/welingtoninfo

  • Amanda Nóbrega

    Pqp! Perdi 20 mil dólares? Foi assim que invadi a conta do meu namorado…

    • Az

      e você programa em Louça ou Cozinha?

    • Diego Rodrigues

      Eee mulherada, cadê a confiança ? ^^

      minha namorada entra na meu face a hora que ela quer e eu no dela

    • ADRY

      como fez isso ? pode me ensinar? por favor te imploro rsrs meu e mail ADRYELEROHR@HOTMAIL.COM

    • Brayan adans

      pode me ajudar ? perdi minha senha :( ( falha minha preciso do meu facebook como vc conseguiu ? me esplica ? to tentando a horas no youtube ninguém fez nada’

    • Adriane Oliveira

      me ajuda a invadir a conta do meu ex

  • TheHulk

    sou píor hackiado do face e invasor add http://www.fb.com/fabiops18

  • HackerR FaceB

    Hackeio Facebook Link no meu ML>>>http://t.co/II0QTcG1Ch

    • natyszinha

      preciso hackear uma pessoa cm urgência…me ajuda

  • HackerR FaceB
  • HackerR FaceB
  • Patriick

    Algueeeeem me encina a hackiar desse jeito , ja tentei umonte de vez mais não consegui :’( me ajudem , me adc no face
    http://www.facebook.com/patriick.sousa.52

  • Miguel kelly

    por favor manos me ensinam só como invadir conta ou descobrir senha alguem no facebook

    • Jose Gabriel

      descubra o email da pessoa e coloke esceçeu sua senha e muda a senha dele

      • david

        se diz esqueceu.

  • Jose Gabriel

    Que bosta , do carai to perdendo em um desafio com o meu rmão de kem cnsege

  • Costa

    Vai trabalhar ou troca de namorado… se não confia melhor nem namorar… tive uma louca assim na minha vida… casei com outra!!!

  • david

    acredito que tenha alguma coisa a ver com email. o face pede muita confirmação de email e celular. o jeito para burla-lo esta no vicio das senhas que um usuario digita varias veses em um computador.

  • rayane

    realmente è verdade esse e o brasil

  • rayane

    muito primitivo
    sem saber que o facebook narseu para ser haqueado
    isto e fato etodo mudo sab disto nâo e verdade meu povo

  • Adriane Oliveira

    quero rackear o face do meu ex mas nao sei a senha como eu faço pra conseguir

  • Caveman

    Basicamente este foi o motivo de eu desistir de um casório de alguns anos.
    Cada louca que aparece!

  • Lucas Mazzo

    me ajuda ai como rackea uma pessoa ´por favo me fec e https://www.facebook.com/lucas.mazzo.7 me manda solicitação ai podemos convesa … obg

  • Penelope

    Me ajuda

    • Penelope

      Me ajuda ???

  • Marcella

    Depois de errar e gastar muito dinheiro indico quem faz em 2 dias e com segurança e sigilo:
    ifaststore@live.com
    Facebook e Hotmail com 100% de eficácia
    Não sejam enganados, eles fazem e fazem bem feito.

  • Alisson

    man me passa seu face quero raquia um face e nao consigo

  • so
  • HackerR FaceB
  • HackerR FaceB
  • keila

    vc é uma fraude só quer ganhar dinheiro canalha te paguei e vc não fez nada

  • sarah drummond

    Quero conversa com vc no face preciso de hackear alguem . Você poderia me ajudar eu pago !

  • Ride

    conseguiu que este picareta fizesse pra vc, ou depois que fez o deposito ele sumiu???

  • anonimo

    este picareta tambem, sumiu, fiz o deposito e ele não me passou a senha, tremendo desonesto, não acredite nele.

Notícias PRNewswire