Por Redação O Sul | 14 de dezembro de 2018
O Facebook revelou nesta sexta-feira (14), em um post na página voltada para desenvolvedores, que um erro na plataforma teria permitido que aplicativos terceiros tivessem acesso a fotos de 6.8 milhões de usuários. O ‘bug’ inclusive daria acesso a fotos que foram postadas na rede social, mas que não haviam sido compartilhadas com amigos ou o público. A falha já foi corrigida.
Segundo a postagem, feita por um funcionário da empresa, o erro permitiu o acesso durante um período de 12 dias em setembro deste ano. A notícia é mais uma na lista de erros do Facebook, que em setembro deste ano revelou uma falha que permitiu acesso a dados de mais de 50 milhões de usuários.
Segundo a postagem, o Facebook irá notificar as pessoas que foram afetadas por essa falha via mensagem na rede social.
De acordo com as informações, o erro acontecia quando alguém dava permissão de acesso a um aplicativo terceiro para que visualizasse as fotos do usuário na rede social. “Nós geralmente só permitimos acesso às fotos que são postadas na linha do tempo. Neste caso, o bug potencialmente deu a desenvolvedores acesso a outras fotos, como as postadas no Marketplace ou nas Stories. O erro também afetou fotos postadas e não compartilhadas”, afirma o autor.
Sob maior escrutínio público de suas ações e vazamento de dados, o Facebook aumentou recentemente a recompensa que paga a pessoas que encontram bugs na plataforma. Só em 2018, foram pagos US$ 1,1 milhão em prêmios e o maior valor individual, US$ 50 mil. A rede social foi uma das primeiras grandes empresas do setor de tecnologia a trabalhar com o sistema de “caça de erros” (bug bounty, em inglês) , que premia terceiros que encontrem bugs e notifiquem a plataforma. O programa já pagou mais de US$ 7,5 milhões desde que foi instaurado em 2011.
Recompensa
O Facebook aumentou a recompensa paga a especialistas independentes que identificarem falhas em seus serviços que permitam a um invasor tomar o controle de contas de terceiros. O Facebook já possui um programa de recompensa por falhas (“Bug Bounty”, no termo em inglês), mas o anúncio aumentou os valores pagos e facilitou a obtenção do prêmio. Agora, os pagamentos chegam a US$ 40 mil (cerca de R$ 150 mil) para falhas que possam ser exploradas sem qualquer auxílio ou intervenção da vítima.
Se a falha por acaso exigir alguma ação da vítima (um clique em um link, por exemplo), a recompensa paga cai para US$ 25 mil (cerca de R$ 100 mil). Porém, não é preciso que o especialista mostre também algum meio de burlar outros recursos de segurança do Facebook
No caso de links, que é o tipo de interação mais comum nesse tipo de ataque, a rede social pode filtrar certos links maliciosos, o que dificultaria esses ataques dentro da própria rede. Porém, é possível que esses links sejam enviados às vítimas por meios externos à rede, como e-mail ou mensagens particulares em outras redes sociais – o que explica por que o Facebook aceitaria esse tipo de colaboração.
