Falha deixava à mostra em seu código fonte os dados de quem fazia os testes
© REUTERS/Dado Ruvic |
O hacker belga Inti De Ceukelaire descobriu recentemente duas coisas ao acessar sua conta do Facebook: 1º) se fosse uma princesa da Disney, ele seria a Jasmine, par romântico do Alandim; 2º) o software por trás desse teste aparentemente banal expôs os dados de mais de 12 milhões de usuários do Facebook ao longo dos últimos anos.
Em texto publicado por Ceukelaire no site Medium, ele conta como encontrou uma falha no site Nametest.com que deixava à mostra em seu código fonte os dados de quem fazia os testes -mais de 120 milhões por mês.
"Enquanto eu carregava o teste, o site encontrava as minhas informações e as colocava no site http://nametests.com/appconfig_user. Fiquei chocado, pois esses dados estavam expostos para qualquer outro site terceiro que solicitasse".
Os dados dos usuários ficavam expostos no javascript do Nametest.com. Javascript é uma linguagem de códigos bastante comum usada por desenvolvedores de sites e aplicativos.
Ceukelaire explica que normalmente os sites não conseguem acessar essas informações sem que os usuários deem permissão, pois os navegadores são bloqueados.
"Para verificar se seria realmente simples roubar informações de alguém, criei um site que se conectaria a NameTests e obteria algumas informações sobre meu visitante. O NameTests também forneceria uma chave secreta chamada de "token de acesso", que, dependendo das permissões concedidas, poderia ser usada para obter acesso às postagens, fotos e amigos de um visitante", escreve.
O hacker também conta que mesmo após ter deletado ao aplicativo da página do Facebook, os dados do usuário continuavam expostos.
Com essas informações facilmente disponíveis, empresas podem ter usado os dados dos usuários para segmentar seus anúncios e, segundo Ceukelaire, sites mal-intensionados poderiam até mesmo usar as postagens para chantagear alguém.
Como Ceukelaire faz parte do programa Data Abuse Bounty do Facebook que dá prêmios em dinheiros para especialistas denunciarem possíveis mau uso dos dados dos usuários do Facebook. Pela sua descoberta, ele teria direito a US$ 4 mil. Ele pediu ao Facebook que dobrasse a quantia e doasse para a Freedom of the Press Foundation, instituição sem funs lucrativos cujo presidente é Edward Snowden, que vazou informações sigilosas da Agência de Segurança Nacional dos EUA (NSA, na sigla em inglês) em 2013.
VULNERABILIDADE
Em nota, o Facebook confirma a falha do site. "Um pesquisador chamou nossa atenção para uma questão no site nametests.com por meio do nosso programa Data Abuse Bounty, que lançamos em abril para encorajar denúncias envolvendo dados do Facebook. Trabalhamos com a nametests.com para resolver a vulnerabilidade em seu site, que foi concluída em junho", declaração de Ime Archibong, vice-presidente de parcerias de produtos do Facebook. Com informações da Folhapress.
Via...Notícias ao Minuto
Nenhum comentário:
Postar um comentário
Os comentários são pessoais, é não representam a opinião deste blog.
Muito obrigado, Infonavweb!