Falha no Facebook permitia apagar fotos de qualquer usuário

Bug descoberto nesta semana permitia que uma pessoa qualquer removesse fotos do álbum de um usuário, sendo amigo dele ou não

São Paulo – Mais um bug no Facebook foi descoberto e divulgado nesta semana. Desta vez, a falha permitia que uma pessoa qualquer removesse fotos do álbum de um usuário, sendo amigo dele ou não.

A brecha na segurança foi descoberta pelo pesquisador indiano Arul Kumar, que a divulgou em seu blog pessoal depois de repassá-la ao próprio Facebook. O problema foi devidamente corrigido e Kumar, ao contrário de Khalil Shreateh e o bug de algumas semanas atrás, foi bonificado com um pagamento de 12.500 dólares.

Aproveitar-se da falha descoberta pelo indiano, considerada gravíssima, era relativamente simples, o que explica o alto preço da correção. Ela se aproveitava de problemas no painel de controle do suporte do Facebook, que permitia que um usuário conferisse o status de uma denúncia de foto inapropriada, por exemplo, enviada para avaliação.

Caso uma imagem reportada não fosse removida pelos técnicos da rede social, o usuário que havia feito a acusação recebia um link. Através dele, era possível enviar uma solicitação de remoção diretamente ao responsável pela imagem – e neste endereço que estava o problema. Um vídeo gravado por Kumar mostra todo o processo.

Com algumas poucas alterações na URL, o “invasor” podia simplesmente acessar a interface visível pelo dono da foto, amigo dele ou não, e deletá-la. Dada a facilidade da execução, não levaria muito tempo para que uma ferramenta destinada unicamente para isso fosse desenvolvida, por exemplo.

A parte curiosa da denúncia é que o bug foi demonstrado usando como “vítima” o perfil de Mark Zuckerberg. No entanto, ao contrário de Shreateh, que postou no mural do dono da rede social, Kumar não colocou a falha em ação – ou seja, nenhuma foto de Zuckerberg foi apagada durante a ação. Como não houve violação nos termos de uso do Facebook, o pesquisador indiano seguiu apto a receber a bonificação.

//player.vimeo.com/video/73482820