Um pesquisador de segurança que usa o nome "AMol NAik" revelou que
recebeu US$ 5 mil (cerca de R$ 10 mil) do Facebook por avisar a rede
social sobre um problema envolvendo os aplicativos da rede social.
Criando uma página especial, um indivíduo mal intencionado poderia
adicionar apps ao perfil da vítima sem autorização da mesma.
Quando um app é adicionado ao perfil no Facebook, a rede social inclui um parâmetro oculto com o nome "fb_dtsg". Esse parâmetro é gerado pelo Facebook no momento em que a página é carregada e é novamente enviado ao Facebook quando o internauta autoriza a inclusão do app. Sites externos ao Facebook não conseguem ter acesso a esse parâmetro. Com isso, o Facebook sabe que foi o próprio usuário que clicou no botão autorizando o app e que essa autorização ocorreu dentro do próprio Facebook.
De acordo com o pesquisador que encontrou a falha, o site do Facebook simplesmente ignorava o parâmetro "fb_dtsg". Com isso era possível incluir qualquer app ao perfil da vítima, mesmo quando ela acessasse uma página sem nenhuma relação com o Facebook e sem a necessidade de nenhuma autorização.
A equipe de segurança do Facebook levou um dia para corrigir a falha e "AMol NAik" recebeu US$ 5 mil dólares.
O Facebook é uma das empresas que está pagando especialistas por brechas encontradas em seus produtos. A tendência foi iniciada pelo Google.
Outras empresas, como a Microsoft, ainda resistem à prática, fazendo com que pesquisadores procurem empresas intermediárias, que compram as informações pelo privilégio de fornecer correções exclusivas a clientes. No entanto, essas empresas intermediárias também comunicam os desenvolvedores, que eventualmente corrigem as brechas para todos os utilizadores do software.
Quando um app é adicionado ao perfil no Facebook, a rede social inclui um parâmetro oculto com o nome "fb_dtsg". Esse parâmetro é gerado pelo Facebook no momento em que a página é carregada e é novamente enviado ao Facebook quando o internauta autoriza a inclusão do app. Sites externos ao Facebook não conseguem ter acesso a esse parâmetro. Com isso, o Facebook sabe que foi o próprio usuário que clicou no botão autorizando o app e que essa autorização ocorreu dentro do próprio Facebook.
De acordo com o pesquisador que encontrou a falha, o site do Facebook simplesmente ignorava o parâmetro "fb_dtsg". Com isso era possível incluir qualquer app ao perfil da vítima, mesmo quando ela acessasse uma página sem nenhuma relação com o Facebook e sem a necessidade de nenhuma autorização.
A equipe de segurança do Facebook levou um dia para corrigir a falha e "AMol NAik" recebeu US$ 5 mil dólares.
O Facebook é uma das empresas que está pagando especialistas por brechas encontradas em seus produtos. A tendência foi iniciada pelo Google.
Outras empresas, como a Microsoft, ainda resistem à prática, fazendo com que pesquisadores procurem empresas intermediárias, que compram as informações pelo privilégio de fornecer correções exclusivas a clientes. No entanto, essas empresas intermediárias também comunicam os desenvolvedores, que eventualmente corrigem as brechas para todos os utilizadores do software.
Nenhum comentário:
Postar um comentário