Teste de princesas no Facebook expôs dados de 120 milhões de usuários

0 Flares Facebook 0 0 Flares ×

Em texto publicado por Ceukelaire no site “Medium”, ele conta como encontrou uma falha no site Nametests.com.

O hacker belga Inti De Ceukelaire descobriu recentemente duas coisas ao acessar sua conta do Facebook: primeiro, se fosse uma princesa da Disney, ele seria a Jasmine, par romântico do Alandim; e, segundo, o software por trás desse teste aparentemente banal expôs os dados de mais de 120 milhões de usuários do Facebook ao longo dos últimos anos.

Em texto publicado por Ceukelaire no site “Medium”, ele conta como encontrou uma falha no site Nametests.com que deixava à mostra em seu código fonte os dados de quem fazia os testes.

“Enquanto eu carregava o teste, o site encontrava as minhas informações e as colocava em seu código fonte. Fiquei chocado, pois esses dados estavam expostos para qualquer site que solicitasse”.

Os dados dos usuários ficavam expostos no javascript do Nametest.com. Javascript é uma linguagem de códigos bastante comum usada por desenvolvedores de sites e aplicativos.

Ceukelaire explica que, normalmente, os sites não conseguem acessar essas informações sem que os usuários deem permissão, pois os navegadores são bloqueados.

“Para verificar se seria realmente simples roubar informações de alguém, criei um site que se conectaria ao ‘NameTests’ e obteria algumas informações sobre meu visitante. O ‘NameTests’ também forneceria uma chave secreta chamada de “token de acesso”, que, dependendo das permissões concedidas, poderia ser usada para obter acesso às postagens, fotos e amigos de um visitante”, escreve Ceukelaire.

O hacker também conta que mesmo após ter deletado o aplicativo da página do Facebook, os dados do usuário continuavam expostos.

Com essas informações facilmente disponíveis, empresas podem ter usado os dados dos usuários para segmentar seus anúncios e, segundo Ceukelaire, sites mal-intencionados poderiam até mesmo usar as postagens para chantagear alguém.

Prêmio

Ceukelaire faz parte do programa Data Abuse Bounty do Facebook, que dá prêmios em dinheiro para especialistas denunciarem possíveis mau uso dos dados dos usuários da rede social. Pela sua descoberta, ele teria direito a US$ 4 mil. Ele pediu ao Facebook que dobrasse a quantia e doasse para a Freedom of the Press Foundation, instituição sem fins lucrativos, cujo presidente é Edward Snowden, que vazou informações sigilosas da Agência de Segurança Nacional dos Estados Unidos (NSA, da sigla em inglês) em 2013.

Vulnerabilidade

Em nota, o Facebook confirma a falha do site. “Um pesquisador chamou nossa atenção para uma questão no site ‘Nametests.com’ por meio do nosso programa Data Abuse Bounty, que lançamos em abril para encorajar denúncias envolvendo dados do Facebook. Trabalhamos com a Nametests.com para resolver a vulnerabilidade em seu site, que foi concluída em junho”, declarou Ime Archibong, vice-presidente de parcerias de produtos do Facebook.

0 Flares Facebook 0 0 Flares ×