Entretenimento

Falha no Facebook revela e-mail, foto e nome de usuário

Da Redação ·
 Invasor pode realizar ataque de força bruta na página de logi
fonte: googleimagens.com
Invasor pode realizar ataque de força bruta na página de logi

Uma função criada para tornar o Facebook mais amigável está sendo questionada por pesquisadores de segurança. O recurso faz com que a tela de “senha incorreta” da rede social mostre o nome completo do usuário e também uma imagem. Um hacker pode tentar centenas de e-mails na página, obtendo a confirmação de que o e-mail é válido e, ainda, uma foto e o nome do dono da conta.

continua após publicidade

O diretor-executivo da Secfence Technologies, Atul Agarwal, enviou um e-mail para a lista de segurança Full Disclosure com a sua observação a respeito do potencial malicioso do recurso do Facebook. No e-mail, Agarwal ainda afirma que não entrou em contato com o Facebook. “Não sei se isso é um bug, uma brecha ou uma funcionalidade”, explicou.

continua após publicidade

“É um erro básico, bem básico”, afirmou o especialista em segurança e diretor de tecnologia da Flipside, Anderson Ramos. Segundo o especialista, o problema não é grave, mas o problema está na quantidade de informações que a rede social armazena. “Por mais básicos que sejam os erros de segurança em aplicações web que armazenam um volume gigantesco de informações, o impacto vai ser sempre imenso”, explica.

continua após publicidade

O problema, revelado inicialmente na quarta-feira (11), ainda não foi totalmente corrigido pelo Facebook. Embora em alguns casos a foto e o nome não sejam mais exibidos, o site ainda informa que apenas a senha ou o e-mail está incorreto.

Além de informar quando o e-mail está certo, o Facebook ainda corrige o endereço de e-mail caso ele tenha sido digitado incorretamente, auxiliando criminosos a encontrarem endereços válidos.

continua após publicidade

É considerada boa prática, em programação de sistemas autenticação e login, nunca informar se o erro está na senha ou no usuário. Com isso, o atacante não consegue saber qual credencial de acesso está incorreta.

continua após publicidade

Vazamento de dados


No final de julho, um especialista em segurança criou um software para coletar os nomes de pessoas cadastradas no Facebook. O programa coletou 2,8 GB de dados, o equivalente a cem milhões de nomes, organizados de diferentes formas para serem usados em programas de quebra de senha.

Os nomes coletados estavam restritos a usuários que permitiram ter seu perfil incluído no Diretório do Facebook. O novo problema pode comprometer qualquer usuário, independentemente das configurações de privacidade.