Facebook identifica roubo de tokens e obriga usuários a fazerem login novamente

Um erro no Facebook pode ter afetado 50 milhões de contas na rede social. Isso é o que informa o vice-presidente de gerenciamento de produtos da empresa, Guy Rosen, em post oficial. A vulnerabilidade permitiu que pessoas maliciosas tivessem acesso chaves de contas de usuários na plataforma.

O problema, segundo Rosen, foi descoberto por um engenheiro do Facebook na tarde da última terça (25). Ele informa que a avaliação ainda está em fase inicial, mas já adianta que a vulnerabilidade está na ferramenta “Visualizar o Meu Perfil”. Com ela, o usuário pode saber como seu perfil está sendo exibido para outras pessoas.

Rosen explica que uma falha de segurança no código desta ferramenta permitiu que pessoas roubassem tokens de acesso daquele usuário. “Os tokens de acesso são equivalentes a chaves digitais que permitem a usuários ficarem logados no Facebook, sem que precisem ficar colocando novamente a senha toda vez que usam o aplicativo”, explica.

Tal vulnerabilidade já foi corrigida e o Facebook já contatou as autoridades. Por conta disso, também, os tokens de acesso foram resetados, motivo pelo qual usuários tiveram que logar novamente em suas contas no Facebook e Messenger. Além das 50 milhões de contas afetadas, outras 40 milhões sob suspeita também ganharam novos tokens.

“Como resultado, cerca de 90 milhões de pessoas vão ter que fazer o login no Facebook ou quaisquer outros apps que usem o login do Facebook. Assim que fizerem o login, devem receber um aviso sobre o acontecido”, explica Rosen.

Por conta disso, a opção “prévia do perfil” está temporariamente desabilitada por razões de segurança.

Aprofundamento

Em julho do ano passado, a rede social mudou uma ferramenta para upload de vídeos, o que, segundo Rosen, foi o que criou a brecha no código da prévia de perfil. Sabendo disso, hackers maliciosos foram capazes de chegar ao token.

O próximo passo envolve saber se tais contas com tokens roubados foram de fato acessadas ou não e se as informações foram comprometidas. “Nós também não sabemos quem está por trás destes ataques nem onde moram”, confessa. A empresa deve atualizar o post com mais informações, à medida que descobertas forem feitas.

Isso significa que, caso seu perfil tenha sido deslogado, a recomendação é de que não há necessidade de trocar a sua senha. Contudo, precaução nestes casos nunca é demais e não custa nada mudar a sua chave de acesso.

A empresa também informa que, assim que souber de mais tokens que foram comprometidos, usuários serão deslogados e terão suas chaves resetadas por segurança.

Fonte: Facebook