Qual foi o bug do Facebook relacionado à redefinição de senha?

O Facebook pagou US $ 15.000 (€ 13.600) a um pesquisador de segurança independente que descobriu uma maneira simples de redefinir senhas para outras contas, definindo uma nova senha e poderia efetivamente assumir o controle de outros perfis.

Anand Prakash, pesquisador de segurança que vive em Karnataka, Bangalore, Índia, é o desenvolvedor que descobriu esse problema e ajudou o Facebook a corrigi-lo antes que ele fosse abusado por agentes maliciosos.

Qual foi o bug do Facebook relacionado à redefinição de senha?

Como ele descreve em seu blog, o problema é de fato um ataque trivial de força bruta no formulário de recuperação de senha e não no site principal do Facebook, protegido contra esses tipos automatizados de ataques.

Sempre que um usuário esquece sua senha, ele precisa preencher um formulário com o endereço de email ou o número de telefone associado à conta do Facebook.

Depois de inserir um desses dois itens, um código SMS de seis dígitos é enviado ao usuário, que ele deve inserir no formulário de redefinição de senha para permitir o acesso a uma página na qual ele pode alterar a senha da conta.

Se alguém tentasse adivinhar esse código de seis dígitos para o site principal do Facebook (facebook.com), seria bloqueado nesta página após 10 a 12 tentativas inválidas.

Prakash descobriu que esse limite de proteção de força bruta não está ativo na plataforma beta do Facebook, acessível em beta.facebook.com. Eles são testados nesta plataforma antes de serem lançados na plataforma principal, a maioria dos recursos do Facebook e esta página oferece a seus usuários, para aqueles que desejam ter acesso a mais novos recursos da empresa.

Usando uma ferramenta simples de força bruta, Prakash conseguiu entrar na tela de redefinição de senha, na qual o código de seis dígitos precisa ser inserido.

Por um cenário simples, o pesquisador tentou todas as combinações possíveis até adivinhar o código correto de seis dígitos. Como o portal Beta do Facebook não foi configurado para impedir os usuários que não conseguem digitar a senha apropriada após 10 a 12 tentativas, o pesquisador acabou redefinindo a senha em sua própria conta e poderia faça o mesmo para qualquer outro usuário. A única condição seria o invasor saber o número de telefone ou endereço de email associado à conta de destino.

O pesquisador descobriu o problema em 22 de fevereiro, disse ele no Facebook e a empresa o corrigiu no dia seguinte. Abaixo, você pode assistir a um vídeo sobre o real motivo registrado pelo pesquisador.

[su_youtube url=”https://www.youtube.com/watch?v=U3Of-jF1nWo” width=”640″ height=”380″]https://www.youtube.com/watch?v=B7o0qA4L4So[/su_youtube]