Especialista descobre ataque pirata à rede do Facebook

Um investigador que conseguiu contornar o sistema de segurança de uma rede corporativa do Facebook ficou surpreendido ao descobrir que outro pirata já estava lá dentro. A rede social desvalorizou a revelação, afirmando que se tratava de outro investigador.

O caso foi relatado por Orange Tsai, da firma de cibersegurança Devcore, sediada em Taiwan. Segundo o texto publicado no blogue da empresa, Tsai estava a tentar descobrir vulnerabilidades no servidor do Facebook, que em 2012 lançou o Bug Bounty Program – isto é, um programa em que paga recompensas a quem descobrir falhas nos seus sistemas.

Tsai descobriu sete vulnerabilidades e reportou-as à equipa de segurança do Facebook e à Accellion, a fabricante do produto de transferência segura de dados em que Tsai detetou problemas. Recebeu 10 mil dólares como compensação, tal como está previsto no programa de “bounties”.

Foi aqui que Tsai identificou um comportamento inesperado. “Quando estava a recolher detalhes das vulnerabilidades e evidências para o Facebook, descobri algo estranho no web log“, explica o investigador. Tsai seguiu mensagens de erro causadas pela modificação de código online e foi dar a ficheiros deixados por “visitantes” anteriores.

Em resumo, um hacker tinha entrado e criado um proxy na página de credenciais para recolher os dados de entrada dos colaboradores do Facebook. Estas passwords estavam armazenadas no diretório web para que o hacker as pudesse usar de vez em quando.

Tsai garante que o intruso conduziu operações no servidor em julho e setembro do ano passado.

A equipa de segurança do Facebook confirmou que este é software de terceiros, e que como tal é corrido em servidores isolados dos sistemas que armazenam os dados que os utilizadores da rede social partilham. Reginaldo Silva, responsável da equipa, publicou no Hacker News uma pequena explicação do sucedido, conforme sinalizado pela Forbes.

“Depois da resposta ao incidente, determinámos que a atividade que o Orange detetou foi, de facto, a de outro investigador que participa no nosso programa de bounties“, escreveu Reginaldo.

“Nenhum deles conseguiu comprometer outras partes da nossa infraestrutura, pelo que, da nossa perspetiva, é uma vitória dupla: dois investigadores competentes testaram o sistema, um deles reportou o que encontrou e recebeu uma boa recompensa, nenhum deles conseguiu ter mais acesso”, afirmou

O que não fica claro é o comportamento do outro investigador, como lhe chama o Facebook, visto que aparentemente não reportou a vulnerabilidade encontrada para reclamar o prémio.

B!T

PARTILHAR

RESPONDER

O outono chegou e traz aguaceiros. Mas o calor ainda pode aparecer em outubro

O outono começou oficialmente às 8h50 desta segunda-feira. Este é o dia do equinócio, a data em que, segundo o saber popular, o dia e a noite têm a mesma duração. A data que assinala o …

Portugal não aderiu a programa da UE criado de propósito após os incêndios de 2017

No ano passado, a União Europeia criou um programa de proteção civil devido aos incêndios de 2017 em Portugal. Contudo, o país não aderiu ao mecanismo. Em 2017, Portugal viveu momentos difíceis devido aos incêndios que …

Boris responsabiliza Irão por ataque a petrolífera saudita

Boris Johnson diz que o país atribui ao Irão, "com muito alto grau de probabilidade, os ataques à gigante petrolífera saudita". O primeiro-ministro britânico, Boris Johnson, acusou esta segunda-feira o Irão de ser, muito provavelmente, responsável …

41 países comprometem-se com iniciativa "Clima e Qualidade do Ar"

A iniciativa "Clima e Qualidade do Ar", apresentada na véspera da Cimeira da Ação Climática, propõe alcançar até 2030 uma qualidade do ar saudável e a harmonização das políticas de luta contra as alterações …

Reino Unido. Trabalhistas querem abolir ensino privado se forem Governo

O Partido Trabalhista britânico compromete-se a abolir o ensino privado no Reino Unido caso venha a formar Governo. O plano do partido liderado por Jeremy Corbyn implica nacionalizar e integrar no sistema educativo público todas …

Rio acusa PS de se comportar como "dono disto tudo" (e diz que também tem um "Centeno")

No último debate a dois antes das legislativas de 6 outubro, os líderes do PSD e PS trocaram esta segunda-feira críticas - em tom leve e cordial -, recordando telhados de vidro de cada força …

Em decisão histórica, partidos árabes recomendam Gantz como primeiro-ministro de Israel

O Presidente de Israel, Reuven Rivlin, iniciou este domingo as suas consultas para a formação de um novo Governo. A Lista Conjunta, uma coligação que reúne os principais partidos árabes do país (Balad, Hadash, Ta’al …

Tancos. Azeredo Lopes teve "exercício perverso" de funções públicas, diz Ministério Público

O Ministério Público (MP) já terá terminado a acusação do caso de Tancos, na qual sustenta que o antigo ministro da Defesa Azeredo Lopes soube de toda a encenação, tendo ainda tentado tirar louros políticos …

Salário de 273 mil euros brutos anuais para Varandas revolta accionistas do Sporting

Um grupo de acionistas do Sporting fez chegar ao presidente da Mesa da Assembleia Geral (AG) da Sporting SAD, Bernardo Ayala, um pedido em que exige a retirada da proposta de aumento salarial para o …

Eleições na Madeira. A noite em que quem perdeu ganhou e quem ganhou perdeu

Depois de 43 anos de poder absoluto, o PSD perdeu este domingo pela primeira vez a maioria do parlamento da Madeira. O PS, que atingiu um valor histórico na região, também reclamou louros de vitória. …