facebook-556808_640.jpg

Brecha permite sequestro de contas do Facebook

Da Redação
04/03/2020

Vulnerabilidade possibilita que os hackers roubem o “Access Token”, isso sem falar que também podem invadir a conta do banco de dados da vítima

facebook-556808_640.jpg

Um especialista em segurança cibernética encontrou recentemente uma vulnerabilidade no recurso “Login with Facebook”. Segundo o especialista, a vulnerabilidade permite que os hackers roubem o “Access Token”, isso sem falar que também podem invadir a conta do banco de dados da vítima.

O Facebook usa o “OAuth 2.0” como um processo de verificação que ajuda a trocar tokens da rede social e dá permissão de acesso a terceiros.

A vulnerabilidade existe na opção “Login with Facebook”, a qual permite que hackers criem um site falso para trocar tokens de acesso por outros aplicativos. Depois que o hacker consegue sequestrar as contas usando os tokens de acesso, ele passa a ter acesso a dados pessoais que incluem mensagens privadas, fotos, vídeos e as credenciais de configuração da conta.

De acordo com Amol Baikar, especialista indiano em segurança cibernética que encontrou a vulnerabilidade, a falha permite que hackers explorem contas de usuário, que incluem Tinder, o próprio Facebook, Oculus, Spotify, Instagram, Netflix, etc. O hacker também pode obter acesso de terceiros aos aplicativos mencionados em “Opção de login com o Facebook”.

O Facebook percebeu essa vulnerabilidade pela primeira vez em dezembro do ano passado e imediatamente emitiu uma correção de segurança. Junto com isso, a empresa também anunciou uma recompensa de US$ 55 mil para quem encontrar a pessoa responsável, por meio do Bug Bounty Program. Diz-se que essa é a maior recompensa já oferecida para uma vulnerabilidade de invasão de suíte.

A empresa de segurança cibernética GBHackers fez as seguintes observações sobre a vulnerabilidade do Facebook:

1. Todos os aplicativos e credenciais de logon de aplicativos de terceiros (Access Token) podem ser expostos em alguns segundos, ao mesmo tempo;

2. A vulnerabilidade permite que o hacker assuma a conta do usuário no Facebook. Além disso, o hacker pode ler, escrever, editar e excluir seus dados;

3. O hacker também tem a opção de modificar suas configurações de privacidade na conta do Facebook;

4. Se um usuário visitar o site malicioso configurado pelo hacker, ele poderá perder seus tokens de acesso de terceiros;

5. Os tokens de acesso roubados de terceiros nunca expiram;

6. O invasor tem controle sobre a conta sequestrada do Facebook, mesmo depois que o usuário altera as credenciais de login. Com informações do site E Hacking News.

Compartilhar: