Uma falha permitia hackear qualquer perfil do Facebook usando força bruta



Um hacker do bem na Índia encontrou uma maneira de invadir o perfil de qualquer usuário do Facebook. Mas não se desespere: ele alertou o Facebook sobre a desastrosa brecha, e recebeu uma recompensa de US$ 15.000 da rede social.

Anand Prakash é engenheiro de segurança na Índia. Em um post no blog dele, intitulado “Como eu poderia ter hackeado todas as contas do Facebook“, Prakash explica como ele descobriu uma maneira de explorar o algoritmo “Esqueceu a senha?” para forçar seu caminho na conta de qualquer pessoa.

Se você esquecer sua senha, o Facebook envia por SMS ou e-mail um código de confirmação de seis dígitos para que você possa redefinir a senha e acessar o seu perfil. O Facebook dá várias tentativas para as pessoas inserirem o código corretamente antes de bloquear a conta de vez.

Esta é uma técnica chamada limitação de taxa, e essencialmente impede que ladrões de identidade simplesmente usem uma lista de todas as combinações possíveis de números até descobrirem a correta – algo chamada de força bruta.

O problema é que sites beta do Facebook (como beta.facebook.com) estavam sem o recurso de limitação de taxa. Assim, Prakash invadiu a conta de um usuário, porque o site beta lhe dava um número ilimitado de tentativas para inserir o código de confirmação de seis dígitos.

Confira abaixo o vídeo de Prakash com todos os detalhes: