O Facebook se salvou de um ataque que poderia expor as contas de todos os seus usuários graças à ação de um hacker. Anand Prakash, que descobriu o bug, recebeu US$ 15 mil por relatar ao Facebook a falha muito simples, mas gravíssima, descoberta no fim do mês passado. O Facebook fechou a vulnerabilidade desde então.
Tudo acontece com um sistema que permite que usuários que esqueceram suas senhas consigam acessar suas contas. O sistema é bem simples: você introduz seu e-mail ou número telefônico e, se houver uma conta associada, a senha é resetada, dando lugar a um código de seis números, que é enviado ao usuário em seu e-mail ou no telefone.
É um processo bem simples, e padrão, só que houve um problema na forma como a ferramenta funciona. Vamos supor que um cibercriminoso soubesse o endereço de e-mail de uma pessoa cadastrada no Facebook. Seria possível forçar a senha a ser resetada para um número PIN de seis algarismos. A partir deste momento, o hacker tem certeza de que a senha temporária daquela conta é um número razoavelmente curto.
Isso não seria problema se a ferramenta de login tivesse um limite de tentativas de acesso, e, de fato, o site facebook.com, tem esta segurança. O problema é que a rede social também é acessível no endereço beta.facebook.com, que não tinha esta proteção. Isso significa que o hacker poderia inundar a página com várias tentativas, com um intervalo minúsculo entre elas graças a um software dedicado, até que um dos números esteja correto. Basta um pouco de paciência.
O bug foi resultado de uma mudança feita alguns dias antes da descoberta de Prakash, e não há evidências de que houve algum tipo de ataque aproveitando a vulnerabilidade. Ele entrou em contato com o Facebook para relatar a falha, aproveitando o programa White Hat da rede social, que recompensa hackers que descobrem problemas e os remunera de acordo com seus relatórios. A empresa, assim, pode fechar a brecha antes que ela fosse explorada com fins maliciosos.
No caso de Prakash, a recompensa foi de US$ 15 mil, que é bastante alta para um bug tão simples. A questão é que, por mais básica que fosse a falha encontrada por ele, ela trazia um risco enorme para o Facebook, que poderia perder muito mais do que US$ 15 mil caso a falha fosse descoberta por agentes maliciosos. O prêmio foi pago oito dias depois do relatório ser enviado.
O programa de recompensa por bugs do Facebook já pagou US$ 4,3 milhões a hackers que encontraram vulnerabilidades em sua plataforma desde que foi implantado, em 2011. Foram mais de 800 pesquisadores premiados com valores que variam entre US$ 500 e US$ 30 mil.