Como o Facebook foi invadido e por que é um desastre

Dado Ruvic/Illustration/Reuters
Ataque foi o maior da história da rede

O Facebook soltou uma bomba na última sexta-feira (28), ao revelar que o site foi invadido por um hacker desconhecido e as contas de 50 milhões de usuários teriam sido atingidas. A equipe de segurança da empresa descobriu que o ataque fez uso de três bugs diferentes, combinados para criar a brecha necessária para a invasão dos perfis. A FORBES conversou com Thomas Shadwell, pesquisador profissional de hackers e de segurança cibernética, que forneceu uma hipótese sobre a forma como se deu o que se acredita ser o ataque mais significativo que já atingiu o gigante das redes sociais.

LEIA MAIS: Cofundador do WhatsApp conta por que rompeu com o Facebook

O objetivo da invasão era roubar o que se conhece como “token do portador OAuth”. Essencialmente, esses tokens provam que o usuário do Facebook é o legítimo proprietário de uma conta no site e indica ao que ele tem acesso. “Os tokens OAuth são como chaves de carro. Se você estiver segurando, pode usá-los, não há qualquer discriminação, basta tê-los na mão.” Nesse ataque de 28 de setembro, as chaves não só abriram contas no Facebook, mas em qualquer outro site que os usuários atingidos acessem com seu login da rede de Mark Zuckerberg, como o Instagram ou um site de notícias.

Para obter essas chaves, os hackers subverteram um recurso no Facebook chamado “View As” (“Visualizar como”). Esse recurso permite que qualquer usuário visualize seu perfil do modo como um outro o vê. Por exemplo: se você bloqueou o seu pai para que ele não veja as suas fotos, pode verificar se está funcionando co essa pré-visualização da página. “Ao que parece, ao construir essa ferramenta, o Facebook fez uma alteração na forma como o próprio site funciona. O modo de funcionamento da rede serviu de base para o ‘View As'”, diz Shadwell. “Se houver um erro, eles podem acabar enviando as credenciais do usuário representado para o usuário visado do recurso ‘Visualizar como'”.

É aqui que as coisas ficam mais estranhas. Se um usuário, por meio do modo de exibição, emulasse um amigo com quem ele tem um outro em comum, e esse outro estivesse fazendo aniversário, o recurso também mostraria um sugestão da rede para que ele postasse um vídeo de “Parabéns”. Graças a um erro cometido pelo Facebook em julho de 2017, esse vídeo de aniversário se tornou uma fonte de um desses preciosos tokens. O player do vídeo gerava e enviava ao usuário um token que seria registrado no aplicativo móvel do Facebook, como se ele fosse a pessoa cuja visão do perfil era emulada no View As. A partir daí, o usuário (nesse caso, um hacker mal-intencionado) teria acesso total à conta da outra pessoa.

Os invasores não teriam dificuldade de transformar a premissa básica dessa invasão em algo massivo, afetando milhões de contas. “Quanto à escala, explica-se: isso não é algo difícil de automatizar”, acrescentou Shadwell.

O Facebook não disse quantas contas foram hackeadas, onde as vítimas estavam baseadas ou quem estava por trás do ataque. De acordo com Shadwell, é complexo mapear tudo isso. “Seria um feito tecnicamente impressionante .”

 

 

Uma catástrofe na internet

O mais preocupante de tudo, no entanto, é o que o ataque provou: que uma empresa com os recursos e o poder do Facebook pode ser roubada e deixar vulneráveis milhões de usuários e contas na internet. Dadas as chaves, o hacker pode assumir qualquer conta usando um login no Facebook. E, dito isso, pode-se supor que número real de afetados é muito superior a 50 milhões. Os rivais do Facebook também devem confiar na segurança online das pessoas? A brecha desta semana sugeriria talvez não.

Em seu annus horribilis, o Facebook sofreu um ataque que não só municia usuários de razões para abandonar o barco, mas também abala de modo irrevogável a relação entre os internautas e as empresas em que confiam para manter suas vidas online privadas.

Como um especialista em criptografia escreveu no Twitter, essa foi uma verdadeira catástrofe da internet.

 

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil (copyright@forbes.com.br).