Facebook corrige falha que permitia acesso a contas sem necessidade de senha

Por Redação | 05.11.2012 às 19:17

Neste final de semana, o Facebook desativou uma falha que pode ter causado dor de cabeça a muitos usuários: um erro permitia que pessoas acessassem contas na rede sem sequer digitar a senha. A vulnerabilidade logo foi descoberta e reparada.

A falha consistia em e-mails enviados pela rede social que continham links que, uma vez clicados, levavam o usuário a efetuar login diretamente em sua conta do Facebook, sem necessidade de uma segunda autenticação, como o requerimento de senha. Os e-mails poderiam ser descobertos por uma simples pesquisa no Google, o que colocaria em risco 1,3 milhão de contas de usuários do mundo todo. A falha foi postada no Hacker News nesta sexta-feira (2).

Além de trazer os e-mails com os links que expunham as contas do Facebook a acesso não autorizado, uma busca no Google também exibia o endereço de e-mail dos usuários para os quais os links foram enviados. O Google agora desabilitou estes resultados de busca para conter potenciais danos causados aos usuários da rede social.

Matt Jones, um engenheiro do Facebook, disse ao Hacker News que a rede social não compartilha os links. "Nós apenas enviamos essas URLs ao endereço de e-mail vinculado ao dono da conta para facilidade de uso, e nunca para torná-lo público. Mesmo assim, colocamos a proteção em primeiro lugar para reduzir a probabilidade de que alguém pudesse ser redirecionado para a conta".

"Para que um motor de busca retorne estes links, o conteúdo dos e-mails precisaria ser postado online (ex. em sites de e-mails descartáveis (…) ou listas de e-mails com arquivos online)", acrescentou.

De acordo com Jones, o sistema de segurança do Facebook também roda verificações adicionais para assegurar que é o dono da conta quem faz o login.

"Independente disso, devido a alguns destes links terem sido descobertos, nós desativamos o recurso até podermos ter certeza de que estes usuários cujos e-mails se tornaram visíveis publicamente estejam seguros. Também estamos trabalhando na segurança de contas de quaisquer pessoas que efetuaram login recentemente, através desta falha", completou o engenheiro.