Facebook revela falha de segurança que afectou 50 milhões de contas

Empresa diz que já corrigiu o problema e que está a investigar o caso.

Uma vulnerabilidade no código do Facebook permitia que terceiros pudessem aceder indevidamente a contas dos utilizadores da rede social. Num comunicado divulgado esta sexta-feira, o Facebook diz que a sua equipa de engenharia detectou a falha de segurança na tarde de terça-feira, dia 25, e que, além de já a ter resolvido, está a tomar medidas adicionais.

O Facebook avança que terão sido afectadas cerca de 50 milhões de contas. Em causa, está a funcionalidade “View As” que permite aos utilizadores da plataforma verem como o seu perfil aparece aos seus amigos e publicamente. Acontece que essa opção permitia também a agentes mal intencionados roubarem tokens de acesso e com estes códigos aceder indevidamente às contas dos utilizadores. Os tokens de acesso não são passwords, mas sim códigos que indicam ao browser que determinada pessoa já iniciou sessão no Facebook e não precisa de fazê-lo novamente, podendo navegar no site e nos serviços associados através do Facebook Login.

Na mesma nota, a empresa de Mark Zuckerberg explica que está a levar este assunto “muito a sério” e que já informou as autoridades policiais e o FBI. Os tokens de acesso às cerca de 50 milhões de contas directamente afectadas foram apagados, obrigando os seus proprietários a iniciar sessão novamente na rede social e em todas as aplicações em que se tenham registado com a sua conta de Facebook. Por precaução, o Facebook informa que limpou os tokens de acesso de outras 40 milhões de contas por terem usado o “View As” no último ano. Ao mesmo tempo, a funcionalidade “View As” foi removida temporariamente da rede social. Os utilizadores afectados directa e indirectamente por esta falha irão ser avisados da situação no topo dos seus News Feeds. A vulnerabilidade afectou não só as contas de Facebook em si, mas pode ter comprometido igualmente contas associadas com o Facebook Login, como o Instagram ou Spotify.

Segundo o Facebook, a falha de segurança no “View As” surgiu em resultado de três bugs distintos e depois de uma alteração feita à funcionalidade de carregamento de vídeo em Julho do ano passado. Ao usar a funcionalidade “View As” para ver o perfil como um visitante, o código da página não removia a caixa de publicação que permitia às pessoas desejarem ao utilizador feliz aniversário, publicando um vídeo; a ferramenta de upload de vídeo gerava um token de acesso quando não devia; e esse token de acesso era gerado não só para o utilizador mas também para a pessoa que estava a ser procurada no “View As”. O token de acesso estava disponível no HTML da página, podendo os atacantes aceder ao mesmo e usá-lo para iniciar sessão em contas de terceiros.

O Facebook diz que começou a investigação no dia 16 de Setembro e que continua a fazê-lo. Para já, não existem evidências de que os atacantes usaram os tokens para aceder a mensagens dos utilizadores, fazer publicações ou recolher dados pessoais dos perfis, como nome, género ou cidade-natal, para, por exemplo, venderem comercialmente. “Estamos a trabalhar arduamente para entender melhor estes detalhes e vamos actualizar este post quando tivermos mais informação, ou se os factos mudarem”, escreve Guy Rosen, vice-presidente de gestão de produto.

O Facebook informa que, se encontrar mais contas afectadas, irá limpar os respectivos tokens de acesso também. Desde o anúncio da vulnerabilidade na sexta-feira à tarde, a empresa já deu duas conferências de imprensa, cujas transcrições podes ler aqui e aqui.

(notícia actualizada às 9h45 de 29/09/2018 com mais informação)