Publicidade
Sábado, 22 de Setembro de 2018
Descrição do tempo
  • 27º C
  • 18º C

Teste de princesas Disney no Facebook expôs dados de 120 milhões de usuários

Hacker que descobriu a falha doou dinheiro recebido para instituição de Edward Snowden

Folha de São Paulo
São Paulo (SP)
29/06/2018 às 20H40

SÃO PAULO, SP (FOLHAPRESS) - O hacker belga Inti De Ceukelaire descobriu recentemente duas coisas ao acessar sua conta do Facebook: 1º) se fosse uma princesa da Disney, ele seria a Jasmine, par romântico do Aladdin; 2º) o software por trás desse teste aparentemente banal expôs os dados de mais de 12 milhões de usuários do Facebook ao longo dos últimos anos. Em texto publicado por Ceukelaire no site Medium, ele conta como encontrou uma falha no site Nametest.com que deixava à mostra em seu código fonte os dados de quem fazia os testes - mais de 120 milhões por mês.

Versão em português de um teste sobre princesas do site Nametest.com - Reprodução/ND
Versão em português de um teste sobre princesas do site Nametest.com - Reprodução/ND


"Enquanto eu carregava o teste, o site encontrava as minhas informações e as colocava no site http://nametests.com/appconfig_user. Fiquei chocado, pois esses dados estavam expostos para qualquer outro site terceiro que solicitasse".

Os dados dos usuários ficavam expostos no javascript do Nametest.com. Javascript é uma linguagem de códigos bastante comum usada por desenvolvedores de sites e aplicativos. 

Ceukelaire explica que normalmente os sites não conseguem acessar essas informações sem que os usuários deem permissão, pois os navegadores são bloqueados. "Para verificar se seria realmente simples roubar informações de alguém, criei um site que se conectaria a NameTests e obteria algumas informações sobre meu visitante. O NameTests também forneceria uma chave secreta chamada de "token de acesso", que, dependendo das permissões concedidas, poderia ser usada para obter acesso às postagens, fotos e amigos de um visitante", escreve.

O hacker também conta que mesmo após ter deletado ao aplicativo da página do Facebook, os dados do usuário continuavam expostos. Com essas informações facilmente disponíveis, empresas podem ter usado os dados dos usuários para segmentar seus anúncios e, segundo Ceukelaire, sites mal-intensionados poderiam até mesmo usar as postagens para chantagear alguém. 

Ceukelaire faz parte do programa Data Abuse Bounty do Facebook, que dá prêmios em dinheiro para especialistas denunciarem possíveis mau uso dos dados dos usuários do Facebook. Pela sua descoberta, ele teria direito a US$ 4 mil. Ele pediu ao Facebook que dobrasse a quantia e doasse para a Freedom of the Press Foundation, instituição sem funs lucrativos cujo presidente é Edward Snowden, que vazou informações sigilosas da Agência de Segurança Nacional dos EUA (NSA, na sigla em inglês) em 2013.

Vulnerabilidade

Em nota, o Facebook confirma a falha do site. "Um pesquisador chamou nossa atenção para uma questão no site nametests.com por meio do nosso programa Data Abuse Bounty, que lançamos em abril para encorajar denúncias envolvendo dados do Facebook. Trabalhamos com a nametests.com para resolver a vulnerabilidade em seu site, que foi concluída em junho", declaração de Ime Archibong, vice-presidente de parcerias de produtos do Facebook.

Publicidade

0 Comentários

Publicidade
Publicidade