Um bug do Facebook foi descoberto pelo pesquisador de segurança e caçador de erros Tommy DeVoss, que foi premiado $5,000. A falha permitiu que ele visse o endereço de email privado de qualquer usuário da mídia social. Além disso, o hack possibilitou que ele reunisse o máximo de endereços de e-mail possível, independentemente de como os usuários particulares pensavam que eram.
O caçador de bugs descobriu a vulnerabilidade no dia de Ação de Graças e relatou ao programa de recompensa de bugs do Facebook. A empresa levou várias semanas para verificar a falha e pagar ao pesquisador o prêmio de $5,000.
relacionado: Aplicativo e bate-papo do Facebook Messenger vulneráveis a explorações simples de HTML
O bug do Facebook explicou
O bug se originou do recurso de Grupos do Facebook gerado pelo usuário que permite aos usuários criar grupos de afinidade na plataforma. O pesquisador descobriu que sendo um administrador de um grupo, ele poderia convidar qualquer membro do Facebook para ter funções de administrador por meio de atividades do Facebook, como editar post ou adicionar novos membros.
O Facebook lidou com os convites e eles foram enviados para a caixa de entrada de mensagens do usuário convidado e para o endereço de e-mail do usuário vinculado à conta. O que DeVoss descobriu foi que ele poderia obter acesso ao endereço de e-mail de qualquer usuário, não importando se ele era amigo dele ou não. As configurações de privacidade das contas não foram um obstáculo.
DeVoss descobriu ainda que, ao cancelar convites pendentes dos usuários convidados para serem administradores, ocorreu uma falha. “Enquanto o Facebook espera pela confirmação, o usuário é encaminhado para uma guia de funções da página que inclui um botão para cancelar a solicitação,”Ele explicado.
O próximo em sua lista foi mudar para Visualização móvel do Facebook da guia Funções da página onde ele pode ver o endereço de e-mail completo de qualquer pessoa que deseje cancelar de se tornar um administrador do grupo do Facebook. Ele percebeu que, ao clicar para cancelar o convite do administrador na página do celular, ele foi redirecionado para uma página com o endereço de e-mail no URL. Ele só tinha que pegue a versão em texto simples do endereço de e-mail privado diretamente do URL. É assim que parece:
Qual é o impacto do bug do Facebook?
O impacto da vulnerabilidade pode variar. Começar com, a coleta de endereços de e-mail como esse contradiz a política de privacidade do Facebook e pode levar a ataques de phishing direcionados e várias atividades maliciosas.
O Facebook confirmou que a falha não foi aproveitada na natureza. Uma correção já foi implementada para evitar que o problema seja explorado no futuro.