O Facebook está passando por uma situação bem delicada nas últimas semanas. Com as recentes notícias de uma nova onda de golpes que estão circulando pelo imponente mensageiro WhatsApp, que permite roubar dados pessoais de várias pessoas, e também dentro da própria rede social, realizado através de notificações falsas que sequestra as informações de acesso de milhares de usuários. E para tornar ainda mais intensa a 'dor de cabeça' de Mark Zuckerberg e cia, essa semana um jovem pesquisador de segurança ganhou a bagatela de US$ 16.000 (R$ 53.000) por parte do Facebook após descobrir uma grave vulnerabilidade na maior rede social do mundo.

Caindo em mão erradas, os hackers poderiam explorar a falha para roubar qualquer página do Facebook. Como todos sabem, milhares de empresas, sejam elas de pequeno ou grande porte, e até mesmo celebridades utilizam a rede social para assuntos comerciais, e seria muito perigoso se essas páginas fossem roubadas, sem mencionar o prejuízo que causaria para o Facebook.

O programador Arun Sureshkumar, idenficou a falha e provou que a mesma afeta diretamente o Gerenciador de Negócios do Facebook, e caso seja utilizada de uma forma maliciosa, a pessoa mal-intencionada poderia muito bem direcionar uma página presente na rede social para o gerenciador do Facebook com altos privilégios. O hacker poderia simplesmente excluir a página, modificá-la, ou pior, compartilhar o conteúdo indevidamente com qualquer pessoa do mundo. Veja o vídeo da ação:

Ao atribuir uma página para o Gerenciador de Negócios, o Facebook solicita que o usuário especifique um ID para a conta. Durante este processo, o especialista descobriu que diversas linhas no código poderiam ser editadas, graças a uma vulnerabilidade presente no próprio algoritmo. Para explorar esta vulnerabilidade o invasor intercepta a solicitação HTTP do navegador enviada para o Facebook e atribui a alguém como um parceiro. Usando a falha do algoritmo, os parâmetros então podem ser manipulados e a solicitação HTTP roubada.

Sendo então possível a substituição de qualquer ID de uma página que teve a solicitação HTTP interceptada, os hackers poderiam sequestrar imediatamente qualquer conteúdo presente na rede social. Sureshkumar afirma que os hackers poderiam invadir qualquer página utilizando esta vulnerabilidade, mesmo aquelas com um perfil de segurança mais alto.

A falha foi divulgada em 29 de agosto e o Facebook corrigiu a mesma no prazo de 6 horas após a notificação. A empresa pagou a recompensa de US$ 16.000 ao jovem programador, pelo auxilio na segurança da rede social.