Publicidade

Hacker que invadiu Facebook de Zuckerberg acha falha de segurança no LinkedIn

Por| 18 de Dezembro de 2017 às 13h38

Link copiado!

Hacker que invadiu Facebook de Zuckerberg acha falha de segurança no LinkedIn
Hacker que invadiu Facebook de Zuckerberg acha falha de segurança no LinkedIn
Tudo sobre LinkedIn

Quatro anos atrás, um hacker descobriu uma falha de segurança no Facebook, e decidiu alertar a companhia. Ignorado, ele então decidiu invadir o perfil de ninguém menos do que Mark Zuckerberg para mostrar que a vulnerabilidade era real. Agora, Khalil Shreateh encontrou uma falha grave em outra rede social, o LinkedIn, que, até então, também estava ignorando os alertas do especialista.

Shreateh, que é um hacker autodidata da Palestina, descobriu a vulnerabilidade na rede social profissional no mês passado, e, depois de ter seus alertas ignorados pela companhia, decidiu contar tudo ao The Verge. A falha foi encontrada quando o hacker pegou o código de imagens hospedadas na plataforma e, ao alterar o valor de origem de uma imagem publicada, um invasor seria capaz de executar um script remoto quando o usuário clicasse naquela imagem. Esse script poderia ser disfarçado como um prompt de autenticação do próprio LinkedIn, enganando usuários para que eles inserissem suas senhas naquele espaço.

Contudo, não foi necessário prejudicar nenhum usuário para provar ao LinkedIn que a falha era real. A companhia, depois de ver a publicação na mídia, rapidamente corrigiu a falha descoberta por Shreateh. Entre os argumentos apresentados pelo LinkedIn justificando o porquê de terem ignorado o alerta do hacker, estava a crença de que teria havido uma "intervenção do usuário".

"Depois que o pesquisador nos contatou para divulgar um problema em nossa plataforma, nós nos envolvemos ativamente para compreendê-lo, e rapidamente implementamos uma correção depois que conseguimos reproduzir o problema", revelou um porta-voz do Facebook. "A falha teve o potencial de afetar os usuários apenas se eles respondessem a uma mensagem de phishing de um invasor, informando suas credenciais (...). Não acreditamos que tenha ocorrido qualquer exploração", conclui.

Continua após a publicidade

Fonte: The Verge