Falha do Facebook permitia que qualquer conta fosse invadida de forma simples

Um problema simples, mas muito grave, permitia que hackers invadissem sem grandes dificuldades a conta de qualquer usuário do Facebook. Ele foi descoberto pelo programador Anand Prakash no final de fevereiro. Desde então, a companhia fundada por Mark Zuckerberg trabalhou para corrigir a falha e devolver a segurança para os seus participantes.

O problema descoberto por Prakash envolvia o sistema de recuperação de senha do Facebook. Sempre que um usuário esquece a sua senha, pode solicitar uma nova, recebendo um código de confirmação de seis dígitos via SMS ou e-mail. Com este código em mãos, ele define uma nova senha para a sua conta, e foi exatamente aqui que o programador descobriu a falha. Em sua própria conta, ele tentou digitar combinações de seis números aleatórias a fim de acessar a tela de criação de uma nova senha, mas foi bloqueado após 10 ou 12 tentativas inválidas.

Contudo, Prakash informa que repetiu o feito nos sites beta.facebook.com e mbasic.beta.facebook.com e, surpreendentemente, deu certo. Não havia mais limite de tentativas para digitar o código de recuperação de senha e ele pôde redefinir a palavra que dá acesso à sua própria conta. Em suma, ele poderia ter usado o mesmo método para invadir qualquer conta da rede social.

Segundo o Facebook, o problema teve origem na mudança feita alguns dias antes de Prakash descobri-lo. Aproveitando o programa White Hat da rede social, que paga hackers que descobrem vulnerabilidades na plataforma, ele relatou o problema ao Facebook e foi recompensado com US$ 15 mil. Agora ele faz parte do time de mais de 800 descobridores de bugs da rede social que, ao todo, já receberam R$ 4,3 milhões em prêmios por encontrar falhas de segurança.

Fontes: Anand Prakash, Gizmodo