Vazamento do Facebook: entenda como hackers ganharam acesso a 50 milhões de perfis

Criador de vídeos gerava ‘token de acesso’ em nome de outros usuários. Hackers utilizavam perfis já comprometidos para obter tokens de amigos.

O Facebook anunciou na sexta-feira (28) que hackers obtiveram acesso a 50 milhões de perfis na rede social. A investigação sobre o caso está em curso e ainda não se sabe quais dados foram acessados ou extraídos pelos hackers. O caso tem certas peculiaridades, pois é diferente dos vazamentos de dados de outros serviços, como o LinkedIn e o Yahoo.

Como medida de segurança, o Facebook encerrou todas as sessões de 90 milhões de usuários, o que obrigou muitas pessoas a refazerem login no site do Facebook e nos aplicativos de celular. Confira por quê.

O que é um ‘token de acesso’?

Quando você digita seu usuário e senha para acessar o Facebook, esses dados são validados. Caso estejam corretos, o Facebook fornece um “token de acesso” ao aplicativo ou ao navegador web. Esse token é um código gerado no momento do acesso e fica registrado pelo Facebook para associar aquele token à sua conta.

O token funciona como uma espécie de “crachá”: você digita a senha e recebe esse “crachá”. A cada acesso ao Facebook, esse token é reenviado pelo navegador ou pelo aplicativo, ou seja, seu “crachá” é apresentado. É dessa forma que o Facebook “lembra” de você e sabe quem você é, sem que a sua senha precise ser transmitida a cada acesso.

Os hackers obtiveram esses tokens de acesso e não as senhas. Como o Facebook invalidou tokens de milhões de usuários, o site não mais reconhece os “crachás” gerados anteriormente para esses perfis. Fazer um novo login, digitando a senha, gera um novo “crachá”, com um código único.

Como os tokens na prática funcionam como substitutos da senha, eles dão acesso a diversas partes do perfil. Certas funções (como a troca da senha ou a configuração da autenticação de duas etapas) exigem a própria senha ou acesso ao endereço de e-mail cadastrado. Segundo o Facebook, o acesso obtido pelos hackers tinha as mesmas permissões do acesso que é concedido o aplicativo de celular.

Como os hackers obtiveram tokens de acesso

O token de acesso é gerado no momento do login e enviado apenas ao navegador ou aplicativo que informou a senha correta.

O que aconteceu é que havia outra parte do perfil capaz de gerar um token de acesso — o que não seria um problema, se essa parte do perfil só pudesse ser acessada por quem já tivesse um acesso validado.

Porém, essa parte do perfil — um criador de vídeos de aniversário — era, por erro, visível pela função “ver como”. A função “ver como” existe para visualizar o próprio perfil como outra pessoa e saber, por exemplo, se um post ou informação pessoal sua fica visível para determinados amigos ou para o público. Não há motivo para um criador de vídeos ser exibido nesse caso.

O que os hackers descobriram é que, ao utilizar o “ver como”, esse criador de vídeos — que precisava de autorização para cadastrar o vídeo em nome do usuário — gerava um token de acesso para o usuário escolhido no “ver como”. Ou seja, o hacker poderia visualizar o próprio perfil como um amigo e assim extrair um token de acesso para a conta desse amigo.

A função “ver como” fica limitada aos amigos de cada perfil. Porém, uma vez em posse do token de seus amigos, o hacker poderia continuar o procedimento extraindo tokens de amigos deles, usando a função “ver como” como esses amigos — afinal, ele possui o “crachá” para se identificar como essas pessoas.

O Facebook identificou o problema quando hackers automatizaram esse processo, acessando milhões de perfis. Isso gerou um pico de acesso. Quando os engenheiros investigaram esse tráfego de dados, o ataque foi identificado.

Nem todos os acessos invalidados estão envolvidos
Embora o Facebook tenha estimado que 50 milhões de perfis tiveram suas credenciais roubadas pelos hackers, outros 40 milhões de usuários também tiveram seus tokens invalidados. Essas são pessoas que utilizaram o recurso de “Ver como” do Facebook no último ano.

Esse segundo grupo teve seus tokens invalidados por cautela, mas a rede social ainda não informou quem pertence a qual grupo. No momento, não há como saber.

Embora se saiba que os hackers extraíram os tokens de acesso, não está claro se eles utilizaram esses tokens para extrair informações dos perfis. É possível que o Facebook tenha interrompido o ataque.

Múltiplas vulnerabilidades

O Facebook identificou três erros que levaram à viabilidade do ataque:

O criador de vídeo não deveria gerar um token de acesso
O criador de vídeo não deveria ser acessível pelo “ver como”
O criador de vídeo não deveria gerar um token de acesso em nome do usuário escolhido no “ver como”. O token deveria ser sempre do dono do perfil original
A função “ver como” está suspensa enquanto o Facebook investiga o ocorrido. Porém, o ataque foi inteiramente viabilizado pelo criador de vídeos que gerava tokens de maneira imprópria.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Fonte: G1(Por Altieres Rohr)

Powered by WP Bannerize

Deixe uma resposta