Normalmente a designação “Hacker” tem uma conotação negativa, ao pensarmos neste termo pensamos nos indivíduos que acedem de forma não autorizada a dados que não lhes pertencem com o intuito de os usar em benefício próprio. Existe uma outra designação de “White Hacker” que define aqueles que usam as mesmas ferramentas mas com objectivos mais nobres, como é o caso deste rapaz indiano que entrou de forma não autorizada em contas do Facebook, mas com boas intenções.

FB-hacked.jpg

O nome deste “White Hacker” é Anand Prakash e foi o próprio a divulgar a sua descoberta , não fiquem alarmados. O próprio Anand Prakash alertou o Facebook e recebeu 15.000$ pela sua descoberta. Trocos para o Facebook.

Este rapaz indiano não é um curioso qualquer, ele é engenheiro de segurança informática e até fez um post sobre como poderia ter entrado em todas as contas do Facebook : “How I could have hacked all Facebook accounts”.

Para dar credibilidade à sua descoberta Prakash fez upload de um vídeo onde podemos ver o “ataque” a ser realizado. Para além do vídeo o autor publicou também uma imagem do pagamento que recebeu da empresa de Zuckerberg.

Curiosamente ou não o Facebook já tinha trabalhado com Prakash anteriormente para identificar potenciais Bugs e erros.

Citando o Facebook:

“Um dos maiores benefícios em ter programas de recompensa de identificação de bugs e erros (bounty programs), é podermos identificar os problemas antes mesmo de chegarem ao público em geral. Estamos felizes em reconhecer e agradecer o trabalho de Anand.”

Vamos detalhar de forma sucinta a forma que o engenheiro indiano utilizou para este feito surpreendente:

Relacionado:
Android 7.1 Developer Preview chega finalmente aos Nexus 5X, Nexus 6P e Pixel C

Se esquecerem a vossa password do Facebook , ser-vos-à enviada uma chave de confirmação de 6 dígitos para que possam proceder ao reset e definir nova senha, o Facebook permite que esta senha seja inserida incorrectamente um determinado número de vezes antes de bloquear o acesso, isto impede que sejam realizados ataques de “Brute Force” (inseridas milhares/milhões de chaves consecutivas até acertar na sequência correcta).

ju1sidfbmzwsvd0uggd9.jpg

A falha aconteceu porque nos sites beta do Facebook  (como o beta.facebook.com) a definição de limitar o número de tentativas estava desabilitada (OMG), isto permitiu a Prakash utilizar um número ilimitado de combinações até entrar nas contas desejadas.

Vejam abaixo o vídeo onde é detalhada toda a experiência:

[youtube_sc url=”https://www.youtube.com/watch?v=U3Of-jF1nWo”]

Após entrar nas contas temos acesso a informação pessoal, mensagens, dados bancários, fotos pessoais etc.. Assustador.

 

Segundo uma declaração do Facebook ao site GIZMODO a anomalia terá estado exposta apenas 72h e não há registo que tenha sido explorada.

Neste caso parece que os “bons” saíram a ganhar, as nossas contas continuam seguras (mais ou menos), e o Prakash levou 15.000$ para casa.

Deixem o vosso comentário.

Fonte/ Via: [The Hacker News / Anand Prakash]

PARTILHAR
Artigo anteriorSuécia tem loja controlada por smartphone
Próximo artigo[DEAL ALERT] VKworld F1 por menos de 50€
Fundador do Androidgeek.pt ,trabalho em TI há dez anos. O desafio de gestão de equipas com foco nas necessidades do mercado deu-me o background certo para abraçar vários projetos online, nos quais aproveito a minha experiência em duas das minhas paixões: Tecnologia e Escrever. Sou um profissional dedicado com vasta experiência em todas as áreas de Gestão de TI e Gestão de serviços na área de Tecnologias de Informação. Sou apaixonado por tecnologia, Android, Publicidade, Marketing Digital e posicionamento estratégico.