quinta-feira, 20 de maio de 2010

Facebook diz que corrigiu bug de segurança; teste mostra o contrário

A constrangedora vulnerabilidade permite que hackers tornem públicos dados sigilosos; especialista desmente a empresa.



O Facebook afirma ter corrigido um bug de programação que permite a um hacker alterar os perfis de usuários ou mesmo tornar públicos dados sigilosos, entre outras coisas.

A falha foi descoberta na semana passada por M.J. Keith, um analista de segurança da empresa Alert Logic. Keith testou a “correção” e afirma que o problema não foi completamente resolvido.

Os técnicos da popular rede social trabalharam em parceria com a Alert Logic para acabar com a vulnerabilidade, que é conhecida tecnicamente como CSRF (cross-site request forgery).

Segundo o porta-voz do Facebook Simon Axten, o problema “foi corrigido”. “Não temos conhecimento de casos em que ele tenha sido utilizado de forma nociva”, completa.

Porém, na terça à tarde, (18/5) após a declaração de Axten, Keith criou uma página com um iFrame HTML “invisível”, programada em Javascript para testar o serviço.

A reportagem do IDG News Service usou a ferramenta e, ao clicar na página, ela fez com que a conta de usuário automaticamente ativasse a função curtir para várias páginas que ele não havia selecionado. Isso mostra que o problema não foi completamente resolvido.

Para que uma pessoa seja vítima do ataque, basta que ela clique em um link adulterado em um site, que tenha esse código Javascript, ferramenta que explora a falha de CSRF.


O Facebook tem enfrentado várias críticas por conta de problemas relacionados à privacidade e à proteção de dados de usuários. No começo do mês, o serviço chegou a retirar o recurso de chat do ar, por conta de vulnerabilidades identificadas.

0 comentários:

Postar um comentário