Falha do Facebook rendeu 15 mil dólares a um hacker
A segurança nos serviços Web é uma obrigação que tem de existir. O Facebook, como muitas outras empresas, recorrem à atribuição de prémios para quem descobrir falhas e problemas.
A mais recente veio do Facebook, onde um hacker conseguiu amealhar 15 mil dólares ao descobrir uma forma de conseguir alterar a password de qualquer utilizador.
Uma nova falha está a afectar a versão de testes do site do Facebook e permite que qualquer utilizador mal intencionado consiga alterar a password de outro utilizador.
O processo normal de recuperação da password bloqueia o acesso ao site e obriga a que seja usado um PIN de 6 dígitos, que é enviado por email. As medidas de segurança aplicadas no Facebook apenas permitem ao utilizador tentar algumas vezes, impedindo que sejam usados os normais processos de tentativa e erro.
Mas esta medida de segurança, que é das mais básicas que existem, não estava aplicada no site beta.facebook.com, permitindo assim que fossem testadas todas as combinações possíveis de códigos e garantindo o acesso à alteração de password. Veja no vídeo abaixo a forma de explorar esta falha.
É claro que o Facebook já fechou este ponto de falha e agora já não é possível explorá-lo, estando novamente garantidas as condições de segurança do serviço.
O site beta.facebook.com é uma versão de testes da maior rede social do planeta e onde que qualquer utilizador pode aceder. É aqui que o Facebook testa muitas vezes as suas novidades.
Mais uma vez compensou ao Facebook pagar os prémios por descobertas de falhas. Este hacker optou por revelar o problema e assim conseguiu levar para casa 15 mil dólares.
Este artigo tem mais de um ano
Na minha humilde opinião, um valor verdadeiramente ridículo para o impacto que podia gerar… Algo a rondar os 6 dígitos era mais justo!
+1. Até o FBI daria mais xD
Completamente de acordo, tendo em conta a dimensão do Facebook e os lucros que tem.
15.000USD?!?!? Uma verdadeira pechincha para o Facebook.
Acho que até no mercado negro rendia mais… Ironia à parte, ao menos optou pela melhor opção e ainda bem que o fez.
Já agora vejam este prémio vindo da google:
http://googlechromereleases.blogspot.pt/2016/02/stable-channel-update_18.html
25,633.70 $ por um bug crítico no chrome…
Boas um pouco de off-topic mas alguém me poderia dizer qual o software que o suposto hacker utilizou?
a pergunta que é uma não pergunta. está respondida no video. Viste o video?
O software que ele utilizou é o BurpSuite. Mas podes utilizar uma simples Add-ons do Firefox para fazer isso.
Tanta gente a trabalhar para os facebooks de graça ou por migalhas, assim sim vamos conseguir ser competitivos como a china!
O gajo nem era hacker … investiguem mais antes de publicar sff.
Hoje em dia, qualquer um que saiba o IP do router é hacker!
Pois, mas tu dizes isso, sem saber o conhecimento que o gajo tem, o rapaz até pode ser Hacker ou não. Infelizmente hoje em dia, a maioria não sabe a diferença entre Hacker, ScriptKiddie e Cracker mas com esse video não consegues saber se ele é ou não Hacker.
15 mil euros ou 15 mil Dólares ?
15 mil dólares.