O que você faria se tivesse perdido todas as suas fotos publicadas no Facebook? Não apenas você, mas todos os seus amigos, todos os usuários do Facebook em todo o mundo? Pois isso quase aconteceu.
Esta semana, o pesquisador de segurança Laxman Muthiyah identificou um bug simples no código da API do Facebook que poderia ter sido utilizado para automaticamente apagar a grande maioria das 350 milhões de fotos armazenadas na rede social. Teria dado um trabalho danado para o hacker, mas seria possível. Felizmente, Muthivah fez a coisa certa e revelou a falha de segurança para a equipe do Facebook que corrigiu o problema em tempo recorde.
O pesquisador descobriu que graças a uma simples falha de autenticação, seria possível explorar o comando de “apagar álbum” da API móvel do Facebook para ter permissão de se apagar qualquer álbum que o usuário pudesse visualizar, não apenas aqueles criados por ele mesmo. De acordo com a empresa de segurança Sophos, uma botnet poderia teoricamente atacar álbuns públicos aleatórios, uma vez que eles são identificados por uma sequência de números.
De acordo com o tamanho da botnet, um atacante poderia apagar uma vasta quantidade de fotos em pouco tempo. E usando apenas um comando HTTP de quatro linhas:
DELETE /<número do álbum da vítima in> HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<token do Facebook para Android do atacante>
Muthivah se espantou com a descoberta e reportou imediatamente para o grupo de segurança do Facebook. Duas horas depois, recebeu a resposta de que o problema foi solucionado. Pela identificação do bug, de acordo com as regras do Facebook, o pesquisador recebeu uma recompensa no valor de US$12 mil. Foi um grande valor perto de uma falha aparentemente tão pequena, mas uma quantia irrisória perto do estrago que a descoberta poderia ter causado nas mãos erradas.