Publicado em: sábado, 14/02/2015

Facebook corrige falha identificada por usuário

Na última quinta feira, dia 12 de fevereiro, a maior rede social do mundo, o Facebook, revelou uma falha em seu sistema de segurança, que só foi corrigida depois que a direção da rede social foi alertada por um usuário, que descobriu o problema na rede. A situação já foi resolvida e foi descoberta por Laxman Muthiyah, um pesquisador indiano que relatou a situação aos administradores da rede social. Ele descobriu que existia uma vulnerabilidade no sistema, permitindo que qualquer foto fosse apagada de qualquer perfil da rede social, até mesmo alguns álbuns completos nas galerias de imagens.

Isso permitia que os usuários apagassem imagens de qualquer outro perfil, porque em dos sistemas do Facebook, ele não verificava se quem tinha dado o comando era o próprio dono do perfil, ou seja, a rede social não sabia identificar se o comando de apagar foto havia sido dado para alguma imagem que pertencia ao seu próprio álbum ou perfil no Facebook. A própria rede social oferece um caminho para que os usuários relatem problemas como este, através de um canal de comunicação que foi criado para interagir com uma série de outros aplicativos que usam a rede social.Facebook corrige falha identificada por usuário

O canal é o Graph API, que também pode ser usado pelos aplicativos móveis do Facebook, como aquele usado em tablets e celulares. A comunicação pelo canal também funciona nesses casos. Isso acontece por que cada um dos aplicativos criados para o Facebook apresenta diferentes permissões, como a autorização para postagens nas timelines, por exemplo, e é justamente esse canal o responsável por determinar que restrições são essas. O pesquisador indiano descobriu que no caso do canal que o Facebook usa no aplicativo para Android, ele não verificava se a foto que o usuário queria apagar era dele mesmo.

De acordo com ele, que chegou a fazer um teste, quem usa o aplicativo no celular não consegue encontrar um botão para apagar a foto que não é dele, mas pode imitar o botão e enviar o comando, de forma que o sistema permite que fotos de um determinado usuário sejam apagadas por outras pessoas. A notificação foi recebida pela rede social em 10 de fevereiro e o pesquisador foi recompensado pelo aviso com um bônus equivalente a R$ 35 mil. O problema já foi corrigido.