Uma função criada para tornar o Facebook mais amigável está sendo questionada por pesquisadores de segurança. O recurso faz com que a tela de “senha incorreta” da rede social mostre o nome completo do usuário e também uma imagem. Um hacker pode tentar centenas de e-mails na página, obtendo a confirmação de que o e-mail é válido e, ainda, uma foto e o nome do dono da conta.
No final de julho, um especialista em segurança criou um software para coletar os nomes de pessoas cadastradas no Facebook. O programa coletou 2,8 GB de dados, o equivalente a cem milhões de nomes, organizados de diferentes formas para serem usados em programas de quebra de senha.
Falha no Facebook revela e-mail, foto e nome de usuário
O diretor-executivo da Secfence Technologies, Atul Agarwal, enviou um e-mail para a lista de segurança Full Disclosure com a sua observação a respeito do potencial malicioso do recurso do Facebook. No e-mail, Agarwal ainda afirma que não entrou em contato com o Facebook. “Não sei se isso é um bug, uma brecha ou uma funcionalidade”, explicou.
“É um erro básico, bem básico”, afirmou o especialista em segurança e diretor de tecnologia da Flipside, Anderson Ramos. Segundo o especialista, o problema não é grave, mas o problema está na quantidade de informações que a rede social armazena. “Por mais básicos que sejam os erros de segurança em aplicações web que armazenam um volume gigantesco de informações, o impacto vai ser sempre imenso”, explica. O problema, revelado inicialmente na quarta-feira (11), ainda não foi totalmente corrigido pelo Facebook. Embora em alguns casos a foto e o nome não sejam mais exibidos, o site ainda informa que apenas a senha ou o e-mail está incorreto.
Além de informar quando o e-mail está certo, o Facebook ainda corrige o endereço de e-mail caso ele tenha sido digitado incorretamente, auxiliando criminosos a encontrarem endereços válidos.
É considerada boa prática, em programação de sistemas autenticação e login, nunca informar se o erro está na senha ou no usuário. Com isso, o atacante não consegue saber qual credencial de acesso está incorreta.
Vazamento de dados
Os nomes coletados estavam restritos a usuários que permitiram ter seu perfil incluído no Diretório do Facebook. O novo problema pode comprometer qualquer usuário, independentemente das configurações de privacidade.
Via:G1
Assinar:
Postar comentários (Atom)
0 comentários:
Postar um comentário