Falha no Facebook revela e-mail, foto e nome de usuário
Invasor pode realizar ataque de força bruta na página de login.
Especialista afirma que erro é básico, mas compromete muitos usuários.
Uma função criada para tornar o Facebook mais amigável está sendo questionada por pesquisadores de segurança. O recurso faz com que a tela de “senha incorreta” da rede social mostre o nome completo do usuário e também uma imagem. Um hacker pode tentar centenas de e-mails na página, obtendo a confirmação de que o e-mail é válido e, ainda, uma foto e o nome do dono da conta.
O diretor-executivo da Secfence Technologies, Atul Agarwal, enviou um e-mail para a lista de segurança Full Disclosure com a sua observação a respeito do potencial malicioso do recurso do Facebook. No e-mail, Agarwal ainda afirma que não entrou em contato com o Facebook. “Não sei se isso é um bug, uma brecha ou uma funcionalidade”, explicou.
“É um erro básico, bem básico”, afirmou o especialista em segurança e diretor de tecnologia da Flipside, Anderson Ramos. Segundo o especialista, o problema não é grave, mas o problema está na quantidade de informações que a rede social armazena. “Por mais básicos que sejam os erros de segurança em aplicações web que armazenam um volume gigantesco de informações, o impacto vai ser sempre imenso”, explica.
O problema, revelado inicialmente na quarta-feira (11), ainda não foi totalmente corrigido pelo Facebook. Embora em alguns casos a foto e o nome não sejam mais exibidos, o site ainda informa que apenas a senha ou o e-mail está incorreto.
Além de informar quando o e-mail está certo, o Facebook ainda corrige o endereço de e-mail caso ele tenha sido digitado incorretamente, auxiliando criminosos a encontrarem endereços válidos.
É considerada boa prática, em programação de sistemas autenticação e login, nunca informar se o erro está na senha ou no usuário. Com isso, o atacante não consegue saber qual credencial de acesso está incorreta.
Vazamento de dados
No final de julho, um especialista em segurança criou um software para coletar os nomes de pessoas cadastradas no Facebook. O O programa coletou 2,8 GB de dados, o equivalente a cem milhões de nomes, organizados de diferentes formas para serem usados em programas de quebra de senha.
Os nomes coletados estavam restritos a usuários que permitiram ter seu perfil incluído no Diretório do Facebook. O novo problema pode comprometer qualquer usuário, independentemente das configurações de privacidade.
Gostou do Artigo? Link-nos!
Comments (0)
Postar um comentário