Uma aparente brecha de segurança no Facebook foi divulgada nesta semana pelo desenvolvedor Andrew Sampson.
A tática envolve basicamente o uso indevido de um código de verificação, daqueles enviados a números de celular, e um e-mail falso, e permitiu ao hacker fazer postagens na linha do tempo de uma conta invadida.
Em um post em seu blog, Sampson exemplificou a técnica usando o perfil da “garota mais bonita que já viu”, um perfil fictício. Na demonstração, a ideia seria fazer a moça se tornar a “namorada” dele, o que envolveria conhecê-la – ou seja, ganhar acesso às informações sem precisar adicioná-la – e mudar seu status de relacionamento atual.
Para começar, o desenvolvedor simplesmente mandou um “fb” ao número usado pelo Facebook para enviar códigos de verificação. Como resposta, acabou recebendo uma sequência não vinculada a um número de telefone, e que acabou ligada ao seu celular.
O próximo passo foi enviar um e-mail falso à vítima – tática comum de phishing –, com um link que ela pudesse usar para recuperar a conta, alegadamente “bloqueada”. A URL, que levava a uma página do Facebook mobile, fora modificada por Samspon para incluir automaticamente o código de verificação no campo em branco.
Bastava, então, a dona do perfil clicar em “Ativar” para vincular a própria conta ao celular do hacker, sem saber o que estaria acontecendo.
O invasor poderia acessá-la pelo “login fácil” da rede social, e ainda solicitar uma mudança de senha, entre outras possibilidades. O desenvolvedor, no entanto, deixou claro em sua postagem que as contas usadas no exemplo eram falsas, e que ninguém acabou prejudicado no experimento.
Ele chegou a avisar a empresa sobre a vulnerabilidade, mas a equipe da rede social acabou classificando-a como “engenharia social”, e até agora nada fez para resolvê-la.
Prevenção – Independente de ser uma brecha ou um golpe aplicado, é importante saber como evitá-la, já que a segurança do Facebook não é perfeita – assim como a de praticamente nenhum serviço.
Para não ser vítima, as recomendações não são muito diferentes das usadas para casos de phishing.
Desconfie de e-mails estranhos, que apresentam algum link para você clicar, mesmo que pareçam legítimos – a mensagem rasa e simples usada por Sampson no exemplo era idêntica à enviada pelo site.
E se você tiver solicitado a mudança de senha ou realmente precisar desbloquear seu perfil, suspeite de páginas que já trazem um campo preenchido ou redirecionam para versões “alternativas” ou simplesmente mobile, como nesse caso.
Ao Facebook, o desenvolvedor recomendou a remoção da página de “login fácil” e o conserto da verificação – “permita apenas pedidos de números associados à conta”, escreveu.
Outra solução é acabar com o prazo de carência do número de telefone (previne que antigos números continuem se aproveitando do “login fácil”), além de não permitir cookies compartilhados entre versão desktop e mobile do Facebook (assim, alguém logado em um não estará automaticamente logado no outro).
COMPARTILHAR