Nesta sexta-feira (28/9), o Facebook anunciou uma falha de segurança que afetou mais de 50 milhões de contas nas redes sociais e ainda obrigou mais de 90 milhões de usuários a refazer o login na plataforma.
Segundo o Facebook, uma vulnerabilidade do código na rede social permitiu que esse recurso fosse usado para roubar tokens de acesso às contas. Os tokens são chaves digitais que permitem que os usuários se mantenham logados na rede social sem precisar digitar sua senha todas as vezes que acessam o site ou aplicativo. Usando esses dados, os hackers podem ter acessado indevidamente as contas de vários usuários, sem precisar descobrir a senha.
Para saber mais informações sobre o ataque, o Olhar Digital conversou com Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina. Confira abaixo a análise do especialista sobre o caso:
Olhar Digital: Tokens de acesso como os que são usados pelo Facebook tendem a apresentar vulnerabilidades? Ou podemos dizer que esse é um caso isolado?
Dmitry Bestuzhev: Usar tokens de autenticação web faz parte das boas práticas de mercado. Mas desta vez, o problema não está nos tokens e, sim, em como eles são gerenciados pelo sistema. O noticiário indica que foi explorada mais de uma vulnerabilidade no código do Facebook para obter acesso aos tokens, que por sua vez dão acesso a qualquer perfil de usuário.
OD: Normalmente, tokens de acesso são tidos como meios seguros para proteger os dados dos usuários. Criminosos virtuais já vêm conseguindo desenvolver novas técnicas que consigam explorar as vulnerabilidades nesse recurso?
D.B: O que aconteceu foi uma pesquisa profunda feita com antecedência para explorar vulnerabilidades nos sistemas que gerenciam esses tokens. Então, culpá-los neste ataque em particular não é exatamente o caso. O problema reside no código do mecanismo do Facebook.
OD: Muitos usuários usam o Facebook para se conectar a outros aplicativos. Podemos esperar vazamento de dados a outros serviços que usem os dados da rede social para acessá-los?
D.B.: O principal objetivo dos invasores não era roubar senhas, mas informações pessoais e confidenciais, que estão disponíveis apenas para o dono da conta e para o Facebook. Como essa informação roubada será usada, não está claro por enquanto. O que está claro é que o agente por trás deste ataque em particular é habilidoso o suficiente e, aparentemente, não está interessado em dinheiro, mesmo aquele que é pago pelos programas de recompensas de descoberta de bugs – que o Facebook tem o seu próprio.
OD: Há outras plataformas sociais, messengers ou aplicativos de grande popularidade que usam esse recurso de tokens de acesso? Eles também podem correr risco de um vazamento semelhante ao Facebook?
D.B.: Sim, a maioria das plataformas web modernas usa tokens. No entanto, isso não significa que todos eles ou alguns deles possam se tornar vítimas do mesmo ataque. Cada plataforma tem seu próprio código e, dependendo da qualidade do código, será possível, ou não, explorar uma ou mais vulnerabilidades – que podem ser qualquer uma e não necessariamente ligado aos processos de autenticação de tokens.
De qualquer maneira, isso é sempre sobre a motivação do atacante. Por que é o Facebook agora? Porque ele tem muita informação sobre usuários de todos os lugares do mundo.
“Ataque não é motivo para preocupação para a privacidade”, diz especialista da Sophos
Já para Chester Wisniewski, pesquisador-chefe da Sophos, companhia especializada em cybersegurança, o ataque não é motivo para grandes preocupações em relação à privacidade dos usuários. Mas é preciso ficar atento:
“Em algo tão grande e complicado quanto o Facebook, provavelmente existirão bugs. O roubo desses tokens de autorização é certamente um problema, mas não é um risco tão grande para a privacidade do usuário quanto outras violações de dados sobre as quais ouvimos falar, como a da Cambridge Analytica”, afirmou Wisniewski.
“Como acontece com qualquer plataforma de mídias sociais, os usuários devem assumir que as informações podem se tornar públicas, por meio de hackers ou simplesmente por meio de compartilhamento excessivo acidental”, continua o especialista. “É por isso que informações confidenciais nunca devem ser compartilhadas por essas plataformas. Por enquanto, sair e entrar novamente na conta é tudo o que é necessário fazer. E esse também é um lembrete e uma oportunidade para rever todas as configurações de segurança e privacidade tanto no Facebook, quanto em outras redes sociais onde se compartilham informações pessoais”, completou.
-> Tudo sobre o Facebook: história e dicas de segurança para usar a rede social!
-> Como entrar no Facebook: problemas comuns e dicas de login