Uma brecha simples permitia controlar qualquer vídeo publicado no Facebook

Equipe de Criação Olhar Digital24/01/2017 10h42

20170119130851
Publieditorial

Um pesquisador de segurança descobriu uma maneira bem simples de tomar o controle sobre qualquer vídeo postado no Facebook.

Dan Melamed estava subindo um vídeo na rede social quando interceptou a requisição enviada para a ação e subtraiu o seguinte parâmetro: “composer_unpublished_photo[0]=Video ID”.

Como explica o Gizmodo, o “Video ID” é onde normalmente fica o código do vídeo a ser publicado. Melamed trocou tal numeração pela de um vídeo que já estava no ar e deu prosseguimento ao processo de publicação.

O Facebook retornou uma mensagem de erro, mas finalizou a publicação. Quando foi conferir o resultado, o pesquisador descobriu que o vídeo que ele originalmente tentou subir havia sido substituído pelo que foi indicado no meio do processo com a alteração do “Video ID”.

A rede social passou a interpretá-lo como publicador daquilo, concedendo-lhe poderes plenos sobre o vídeo, com a possibilidade de fazer coisas como bloquear comentários ou até deletar a publicação.

Ao invés de explorar a brecha, Melamed contatou o Facebook. A rede social não só arrumou o problema como ainda premiou o pesquisador com US$ 10 mil (o que equivale a cerca de R$ 31 mil).