A vulnerabilidade era apresentada durante o processo de redefinição de senha, quando um PIN de acesso temporário era solicitado pelo usuário.
Como as contas comuns existem também no Facebook em versão Beta, o acesso aos perfis de internautas de todo o mundo podia ser feito a partir das sugestões de senha feitas por um programa.“Eu podia ver mensagens, acessar dados de cartões armazenados na seção de pagamentos, fotos pessoais…”, explicou Prakash em seu blog. O relatório sobre os detalhes quanto à falha foi enviado pelo engenheiro no dia 22 de fevereiro ao Facebook; o problema foi consertado no dia 2 deste mês.
Na versão para desenvolvedores, a rede social não impunha limite sobre a quantidade de vezes que o código de seis dígitos podia ser informado – era suficiente, assim, rodar um programa de força bruta para que as combinações possíveis sobre um PIN de base fossem feitas e, por tentativa e erro, autenticar a senha de acesso.
“Uma simples vulnerabilidade encontrada no Facebook poderia ser usada para que as contas de usuários do mundo todo fossem hackeadas facilmente, sem a interação com outro internauta. Isso me deu acesso total a contas de outros usuários a partir da alteração de senha”, comentou Prakash.
“Estamos felizes por reconhecer e recompensar Anand pelo seu excelente relatório”, publicou a empresa de Mark Zuckerberg. Desde 2011, ano em que o programa de pagamento por bugs descobertos foi lançado, US$ 4,3 milhões (quase R$ 16 milhões) já foram desembolsados pelo Facebook para a recompensa de mais de 800 pesquisadores.
Fonte: http://www.tecmundo.com.br/facebook/102047-hacker-embolsa-r-55-mil-descobrir-invadir-contas-facebook.htm /
