Indiano encontra falha crítica no Facebook e recebe US$ 12,5 mil

Correios estudam criar e-mail grátis com criptografia
3 de setembro de 2013
O que aconteceu com as investigações da Operação Castelo de Areia?
4 de setembro de 2013

Indiano encontra falha crítica no Facebook e recebe US$ 12,5 mil

O especialista em segurança Arul Kumar afirma ter recebido nada menos do que US$ 12,5 mil como recompensa após ter denunciado uma vulnerabilidade gravíssima aos engenheiros responsáveis pelo Facebook. O indiano encontrou um método inacreditavelmente simples de apagar fotos de qualquer usuário da rede social sem que o próprio percebesse – a falha era tão crítica que Kumar resolveu gravar um vídeo explicando como o truque funciona.

A primeira etapa para explorar o bug era criar uma solicitação para que os moderadores do Facebook removessem uma imagem qualquer, não necessariamente de sua vítima. Como a fotografia visada não será apagada pela equipe da rede social (por não conter conteúdos ofensivos), você será aconselhado a enviar uma mensagem para que o utilizador remova a imagem por si mesmo.

Aí que está o golpe: tal mensagem, por padrão, possui uma URL que será enviada ao dono da foto para que o próprio delete-a automaticamente. O problema é que você pode editar esse link manualmente, trocando os valores “profile_id” e “photo_id” – que correspondem, respectivamente, ao usuário que receberá a mensagem e ao código de identificação da imagem a ser apagada.

Você já deve ter entendido: basta inserir o profile_id de um segundo perfil seu e o photo_id do arquivo que você realmente planeja deletar. No fim, você mesmo receberá a URL de exclusão e poderá apagar a imagem sem que seu verdadeiro dono perceba.

É interessante observar que o valor oferecido pelo Facebook para qualquer pessoa que encontre uma vulnerabilidade na rede social costuma ficar na média de US$ 1,5 mil, mas Kumar conseguiu levar US$ 11 mil extras para casa – com base nisso, você pode entender o quão grave era a falha encontrada. Com o bug devidamente consertado, o especialista fez questão de postar detalhes sobre a aventura em seu blog pessoal. Caso queira ler o relatório na íntegra, basta clicar neste link.