Vulnerabilidade no Facebook possibilitou invasão a diversos perfis, revela ISH Tecnologia
6 de março de 2024A ISH Tecnologia, referência nacional em cibersegurança, revela em um boletim detalhes sobre uma vulnerabilidade do Facebook
A ISH Tecnologia, referência nacional em cibersegurança, revela em um boletim detalhes sobre uma vulnerabilidade do Facebook. O bug, denominado “0-Click”, possibilitou invasores digitais a tomarem posse da conta de qualquer usuário da rede social.
O processo de invasão ocorria, por meio, da solicitação de redefinição de senha e toda a etapa que envolvia a criação de um novo código para login no aplicativo. Entretanto, graças a um caçador de recompensas do Nepal, conhecido como “Samyp Arial”, o erro foi corrigido.
A fim de compreender e solucionar a vulnerabilidade na mídia digital, Samyp passou a estudar métodos digitais de desinstalação e reinstalação do aplicativo. Além disso o nepalês descobriu algumas características peculiares referente ao processo de redefinição de senha e suas indicações. Na ocasião, o Facebook possibilitava a criação de uma nova senha por notificação e era, por meio dessa operação que a invasão de contas ocorria.
Passo a Passo de como eram realizadas as invasões:
– Escolher qualquer conta do Facebook;
– Tentar realizar o login com o usuário e solicitar uma redefinição de senha
(Esqueci a senha).
– Entre as opções de redefinição disponíveis, escolher “Enviar código via
notificação do Facebook”.
– Isso cria uma solicitação POST. Como parte de uma solicitação POST, uma
quantidade arbitrária de dados de qualquer tipo pode ser enviada ao
servidor no corpo da mensagem de solicitação.
– Copiar a solicitação POST e usar um método para testar todas as 100.000
possibilidades. (Observe que 100.000 possibilidades podem parecer muito,
mas dado o período de duas horas, existem muitas opções).
– O código correspondente responde com um código de status 302, um
redirecionamento que confirma que a pesquisa foi bem-sucedida.
– Utilizar o código correto para redefinir a senha da conta, assim o invasor poderá
agora assumir o controle da conta.
Após analisar o processo de redefinição de senhas, Samyp afirmou que o método utilizado por invasores para acessar os perfis dos usuários era simples, e se baseava exclusivamente na redefinição de senha por notificação. Desse modo, Arial comunicou ao Facebook sobre a falha, e a rede social logo corrigiu o problema. Como forma de retribuir ao nepalês, a plataforma online o recompensou.
A ISH Tecnologia, devido ao ocorrido, destaca alguns pontos em que os usuários das redes sociais precisam se atentar, com o objetivo de evitar situações como essa:
– Prestar atenção aos sinais de que uma solicitação de senha foi iniciada;
– Não utilizar a opção de login do Facebook em outras plataformas;
– Ativar a autenticação de dois fatores (2FA) para o Facebook.
Com quase 5 mil incidentes, ransomwares crescem cerca de 13% em 2023, revela ISH Tecnologia
Cresce a venda de IAs especializadas em crimes cibernéticos, revela ISH Tecnologia