Hacker descobre falha no Facebook que expõe informações privadas dos usuários

Por Redação | 05 de Março de 2013 às 06h00

Um hacker de segurança postou em seu blog pessoal detalhes de como conseguiu explorar uma falha no 'Facebook OAuth', um serviço usado por desenvolvedores para obter a permissão de assinantes da rede social e executar corretamente seus aplicativos na plataforma.

Essa autenticação é usada quando você aceita, por exemplo, um convite para jogar algum game do Facebook com seus amigos por meio da plataforma da rede social, que exige um consentimento do usuário para que o desenvolvedor possa acessar suas informações.

"Eu encontrei uma maneira de obter permissões totais (ler caixa de entrada, caixa de saída, gerenciar páginas, gerenciar anúncios, ver as fotos privadas, vídeos etc) sobre a conta das pessoas, mesmo sem quaisquer aplicativos instalados em sua conta", disse Nir Goldshlager em seu post.

Ele conseguia fazer isso modificando a URL do OAuth, o que lhe permitia redirecionar um usuário para um aplicativo de teste que ele montou. Ao aceitar o pedido de acesso aos dados, a vítima era redirecionada para seu próprio site, onde um token (dispositivo eletrônico gerador de senhas) de aceso seria armazenado.

Quando um usuário clicava em "Permitir" no tal aplicativo fake, o hacker tinha acesso às suas informações. Ele também ressaltou em seu post que a falha só poderia ser explorada até que a vítima mudasse sua senha da rede social.

Permitir acesso à aplicativo

Reprodução: Nir Goldshlager

O Facebook agradeceu Nir Goldshlager em sua página do programa chamado 'The White Hat Program', que é um sistema que visa encorajar os desenvolvedores a relatarem quaisquer potenciais vulnerabilidades em troca de uma recompensa monetária.

Confira o vídeo divulgado pelo hacker em seu blog:

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.