Toda vez que uma nova funcionalidade chega a uma plataforma há risco de que hajam falhas e brechas suscetíveis a invasões. Desta vez, o problema afetou as enquetes da versão web do Facebook: um pesquisador de segurança conseguiu apagar as fotos de outras pessoas explorando um bug na identificação das mesmas.
Ao testar a novidade, Pouya Darabi notou que a rede social enviava uma requisição aos servidores com o valor de uma ID para a foto ou GIF que representava a questão. Ele afirmou que era possível trocar essa numeração por qualquer outra localizada no sistema do Facebook, mesmo a de outras pessoas.
Pesquisador mostra onde ficavam as identidades das imagens
Assim, era criada uma nova representação gráfica, mesmo se os proprietários originais não liberassem esse conteúdo como público. Ao deletar a enquete, a figura “roubada” de outras contas ia junto para o limbo. Ou seja, o cara podia adivinhar o “RG” de uma ilustração que você enviou para o Facebook e usá-la como “avatar” da pergunta dele. Ao apagá-la, o seu material também ia para o lixo, mesmo sem a sua autorização.
Confira o vídeo em que ele prova isso:
A boa notícia é que a companhia consertou o erro assim que Darabi encontrou-o, no início de novembro. Ele foi recompensado pelo programa de descobertas de bugs, com um prêmio de US$ 10 mil.
Categorias