Entretenimento

Como 50 milhões de usuários do Facebook foram hackeados

A rede social revelou mais detalhes sobre como hackers exploraram três bugs para tomar o controle de mais de 50 milhões de contas.

por Jason Koebler & Lorenzo Franceschi-Bicchierai; Traduzido por Marina Schnoor
28 Setembro 2018, 9:30pm

Foto: Shutterstock

Nesta sexta-feira, o Facebook revelou que hackers invadiram os servidores da empresa e podem ter roubado dados de mais de 50 milhões de usuários.

A rede social obrigou 90 milhões de pessoas – cerca de 50 milhões de vítimas mais 40 milhões de outros que podem ter sido afetados também, segundo a empresa – a deslogar e logar de novo. Isso porque os hackers roubaram os “tokens de acesso” deles, um tipo de chave digital que o Facebook cria quando você loga e que te permite continuar logado quando o aplicativo de celular quer abrir outra parte da rede social dentro de um navegador, por exemplo (isso pode ocorrer quando você clica num link).

Um token de acesso não inclui a senha do usuário, mas como permite que um usuário continue logado, ter acesso ao token significa que você fica no controle da conta.

“Partes do nosso site usam uma mecânica chamada single sing-on para criar um novo token de acesso”, disse Guy Rosen, vice-presidente de gerenciamento de produtos do Facebook, aos repórteres numa entrevista coletiva. “Isso funciona assim: vamos dizer que estou logado pelo aplicativo de celular do Facebook e quero abrir outra parte do Facebook dentro de um navegador, o que isso vai fazer é usar a função single sing-on para gerar um token de acesso para esse navegador, então isso significa que você não precisa logar de novo naquela janela.”

Os hackes se aproveitaram de três vulnerabilidades diferentes ligadas para roubar os tokens, disse Rosen.

As vulnerabilidades existiam desde pelo menos julho de 2017 e estavam relacionadas com a ferramenta “Ver Como” do Facebook, que permite que você veja seu próprio perfil como se fosse outra pessoa (é um recurso de privacidade – ele permite, por exemplo, que você verifique se seu ex, vó, ou qualquer um de quem você quer esconder coisas pode ver certas postagens na sua página).

Se você nunca usou a função, pode ser difícil de visualizar ou imaginar. Basicamente, vamos dizer que você quer esconder certas postagens do seu nêmesis, João. Você pode mudar as configurações de privacidade do Facebook para que o João possa ver apenas certos posts. Aí, para ver se as mudanças de privacidade funcionaram, você pode usar o Ver Como para ver seu perfil como se você fosse o João. Você não é realmente o João, claro, e não tem acesso à conta dele – é só uma simulação. Mas essa cadeia de bugs permitiu aos hackers adquirir o token de acesso do John, logar na conta dele usando o token e tomar o controle da conta.

“É importante dizer: os hackers podem ter usado as contas como se fossem os donos delas”, disse Rosen.

O primeiro bug, explicou Rosen, fazia um carregador de vídeo aparecer nas páginas de Ver Como “em certos posts encorajando as pessoas a mandar mensagens de aniversário”. Normalmente, o carregador não deveria aparecer. O segundo bug fazia esse carregador de vídeo gerar um token de acesso que tinha a permissão de logar no aplicativo do Facebook, que não é como a função “deveria ser usada”, segundo Rosen.

O bug final, explicou Rosen, era quando o carregador de vídeo aparecia como parte da função Ver Como, e gerava um novo token de acesso não para o usuário, mas para a pessoa fingindo ser ele – basicamente dando à pessoa usando a função Ver Como as chaves para acessar a conta da pessoa que ela estava simulando. No exemplo que dei acima, isso não só teria permitido a você ver o perfil do João usando a função Ver Como João, mas também teria gerado um token de acesso, te deixando logar e tomar a conta do João.

“Foi a combinação desses três bugs que se tornou uma vulnerabilidade. Agora isso foi descoberto pelos hackers”, disse Rosen. “Esses hackers, para comandar o ataque, precisaram não só encontrar essa vulnerabilidade, mas ter um token de acesso e aí rodar esse token de acesso para outras contas e procurar outros usuários para ter acesso a mais tokens.”

Rosen disse que acredita que esse foi um ataque relativamente sofisticado, especialmente para conseguir mais de 50 milhões de logins: “Essa é uma interação complexa de vários bugs que aconteceram juntos”, ele disse.

“Vimos esse ataque ser usado numa escala consideravelmente grande, que foi como o descobrimos e começamos a investigar, vendo que o ataque estava acontecendo”, disse Rosen. “Não sabemos exatamente como as contas foram usadas até agora.”

Ryan Stortz, um pesquisador de segurança da Trail of Bits, disse a Motherboard que o Facebook deveria ter a capacidade de encontrar esses bugs antes dos hackers.

“O Facebook tem todo um filtro de API em que eles transmitem todas as mudanças de conta que deveria ter pego isso”, Stortz disse a Motherboard num chat online. “Não sei qual era a falha, mas se eles invadiram a conta de Zuck, isso é muito ruim e eles deveriam ter um filtro escrito para evitar isso.”

Mas um ex-engenheiro de segurança do Facebook disse que esse não era um bug trivial de se encontrar.

“Parece uma tremenda descoberta. O código 'Ver Como' está aqui por um tempo então não estou surpreso que tenha alguns bugs”, disse Zac Morris, que trabalhou na divisão de segurança do Facebook de 2012 a 2016, a Motherboard. “Mas levar isso para tokens de acesso total é bem impressionante.”

Morris acrescentou que “como alguém que foi afetado, estou interessado em quem fez isso e por quê. esse é um relatório de recompensa de bug de US$ 30 mil, então eles deviam ter uma ideia de como monetizar isso, o que é um pouco assustador”.

Rosen disse que os hackers não roubaram senhas, então a menos que você tenha sido obrigado a deslogar, você não deve ter sido afetado e os usuários não precisam mudar suas senhas. O Facebook disse que desativou temporariamente a função Ver Como.

Siga a VICE Brasil no Facebook , Twitter , Instagram e YouTube .