Especialista descobre invasão hacker em rede corporativa do Facebook

Um especialista afirmou recentemente ter encontrado uma falha grave de segurança na rede corporativa interna do Facebook. Segundo o pesquisador da empresa Devcore, Orange Tsai, entre os meses de julho e setembro do ano passado um ou dois hackers ganharam acesso a centenas de logins e senhas de funcionários de Menlo Park – embora a exploração possa mesmo ter ocorrido até fevereiro deste ano.

A descoberta foi feita durante um dos chamados “testes de invasão” conduzidos na rede interna do Facebook. Em nota oficial da Devcore, Tsai afirma ter encontrado sete vulnerabilidades entre as ferramentas corporativas, incluindo uma relacionada a um serviço de transferência de arquivos. Dessa aforma, os hackers puderam operar dentro da rede corporativa.

“Enquanto coletava detalhes e evidências sobre vulnerabilidades para reportar ao Facebook, eu encontrei algumas coisas estranhas nos registros web”, disse Tsai em postagem para a Devcore. Ele continua: “Os hackers criaram um proxy na página de credenciais a fim de logar com os dados dos empregados do Facebook. Essas senhas logadas foram armazenadas em um diretório web, para que o hacker pudesse utilizar de vez em quando”.

Sem risco para os usuários

De acordo com o pesquisador, as credenciais obtidas pelos hackers poderiam conferir acesso a contas de e-mail, à rede privada do Facebook e até a outras ferramentas de cunho corporativo. Entretanto, os dados dos usuários da rede social estariam resguardados, já que essas informações são armazenadas separadamente.

Entretanto, é difícil saber se o login e senha de algum funcionário em especial não poderiam dar acesso aos dados dos usuários. Segundo Tsai, aproximadamente 300 credenciais podem ter sido obtidas, “sobretudo aquelas terminadas em ‘@fb.com’ e ‘@facebook.com’”, ele diz. “Quando percebi aquilo, me dei conta de que se tratava de um incidente sério de segurança”.

O Facebook e a caçada aos bugs

O teste de invasão promovido pela Devcore é parte de uma campanha conduzida pelo Facebook, cuja meta é descobrir falhas em potencial. Para tanto, vários pesquisadores de segurança de dados tentam encontrar brechas no serviço ou no próprio site – de tal forma que quem encontrar e divulgar alguma vulnerabilidade pode ser prodigamente pago pela companhia.

De acordo com Tsai, o Facebook foi avisado das falhas no dia 5 de fevereiro, quando então passou a conduzir investigações internas, concluídas no último dia 20. Dessa forma, foi permitido à Devcore divulgar os detalhes do hack.

Outro caçador de recompensas?

Em entrevista ao site Hacker News, um membro da equipe de segurança do Facebook explicou a origem da falha. “Nesse caso, o software que nós estávamos usando era fabricado por terceiros. Como nós não temos o total controle dele, nós o rodamos isoladamente dos sistemas que mantêm as informações que as pessoas compartilham no Facebook. Nós fazemos isso justamente para ter mais segurança”.

Além disso, ao que parece, o hacker responsável pela invasão pode ter sido outro dos caçadores de bugs em busca dos prêmios em dinheiro da companhia. “Nós determinamos que a atividade detectada pelo Orange se devia, de fato, a outro pesquisador que participa do nosso programa de recompensas”, diz o funcionário, garantindo que nenhum dos dois foi capaz de comprometer quaisquer outras partes da infraestrutura da companhia.

Enfim, resta agora aguardar por uma manifestação oficial do Facebook. Fique ligado para mais novidades aqui no Canaltech.

Fonte: Devcore, Hacker News.