Especialista descobre ataque pirata à rede do Facebook

Um investigador que conseguiu contornar o sistema de segurança de uma rede corporativa do Facebook ficou surpreendido ao descobrir que outro pirata já estava lá dentro. A rede social desvalorizou a revelação, afirmando que se tratava de outro investigador.

O caso foi relatado por Orange Tsai, da firma de cibersegurança Devcore, sediada em Taiwan. Segundo o texto publicado no blogue da empresa, Tsai estava a tentar descobrir vulnerabilidades no servidor do Facebook, que em 2012 lançou o Bug Bounty Program – isto é, um programa em que paga recompensas a quem descobrir falhas nos seus sistemas.

Tsai descobriu sete vulnerabilidades e reportou-as à equipa de segurança do Facebook e à Accellion, a fabricante do produto de transferência segura de dados em que Tsai detetou problemas. Recebeu 10 mil dólares como compensação, tal como está previsto no programa de “bounties”.

Foi aqui que Tsai identificou um comportamento inesperado. “Quando estava a recolher detalhes das vulnerabilidades e evidências para o Facebook, descobri algo estranho no web log“, explica o investigador. Tsai seguiu mensagens de erro causadas pela modificação de código online e foi dar a ficheiros deixados por “visitantes” anteriores.

Em resumo, um hacker tinha entrado e criado um proxy na página de credenciais para recolher os dados de entrada dos colaboradores do Facebook. Estas passwords estavam armazenadas no diretório web para que o hacker as pudesse usar de vez em quando.

Tsai garante que o intruso conduziu operações no servidor em julho e setembro do ano passado.

A equipa de segurança do Facebook confirmou que este é software de terceiros, e que como tal é corrido em servidores isolados dos sistemas que armazenam os dados que os utilizadores da rede social partilham. Reginaldo Silva, responsável da equipa, publicou no Hacker News uma pequena explicação do sucedido, conforme sinalizado pela Forbes.

“Depois da resposta ao incidente, determinámos que a atividade que o Orange detetou foi, de facto, a de outro investigador que participa no nosso programa de bounties“, escreveu Reginaldo.

“Nenhum deles conseguiu comprometer outras partes da nossa infraestrutura, pelo que, da nossa perspetiva, é uma vitória dupla: dois investigadores competentes testaram o sistema, um deles reportou o que encontrou e recebeu uma boa recompensa, nenhum deles conseguiu ter mais acesso”, afirmou

O que não fica claro é o comportamento do outro investigador, como lhe chama o Facebook, visto que aparentemente não reportou a vulnerabilidade encontrada para reclamar o prémio.

B!T

PARTILHAR

RESPONDER

Simeone reitera confiança em João Félix. "Acreditamos totalmente nele"

O técnico do Atlético de Madrid, Diego Simeone, voltou a falar de João Félix esta sexta-feira, reiterando toda a confiança no avançado de 20 anos. "A Supertaça foi mais um passo de experiência para um rapaz …

Ensino Superior com mais concursos para professores em 2019

As instituições de Ensino Superior abriram, em 2019, mais 948 concursos para a carreira docente do que em 2018, anunciou, esta quinta-feira, o Ministério da Ciência, Tecnologia e Ensino Superior. De acordo com uma nota do …

Paulo Gonçalves. Seguradoras atrasam autópsia e trasladação do corpo para Portugal

Paulo Gonçalves faleceu no domingo, aos 40 anos, na sequência de uma queda sofrida ao quilómetro 273 da sétima de 12 etapas do Rali Dakar. Exigências das seguradoras quanto a despistes toxicológicos ao corpo de Paulo …

Estivadores vão fazer greve em Setúbal e ameaçam fazer o mesmo em Lisboa

O Sindicato dos Estivadores e Atividade Logística (SEAL) revelou esta sexta-feira que vai entregar já na segunda-feira um pré-aviso de greve no Porto de Setúbal e ameaça fazer o mesmo no Porto de Lisboa. “Os trabalhadores …

Segundo maior diamante transforma-se em joias Louis Vuitton

Depois de cortado e polido, o segundo maior diamante da história será transformado numa coleção de joias da Louis Vuitton. A Lucara Diamond encontrou o diamante Sewelo, de 1.758 quilates, na sua mina do Botswana, no …

Filho do presidente da Câmara de Pedrógão Grande "sem memória" no caso da reconstrução de casas

O adjunto do presidente da Câmara de Pedrógão Grande, Telmo Alves, que também é filho do autarca, disse em Tribunal que desconhece o processo de reconstrução das casas ardidas no incêndio no concelho, em 2017, …

Joacine não está inscrita no congresso do Livre

De acordo com o semanário Expresso, a deputada única do Livre não se inscreveu na reunião magna do partido, que se realiza este fim de semana, em Lisboa. A deputada do Livre, Joacine Katar Moreira, e …

"Há condições para avançar" com o alargamento da ADSE

"Há condições para avançar" com o alargamento da ADSE aos contratos individuais do Estado e aos precários regularizados no PREVPAP, disse Alexandra Leitão, esta sexta-feira, no Parlamento. A ministra da Modernização do Estado e da Administração …

Países "lutam" por fundos europeus para neutralizar emissões de carbono

Um novo fundo de 100 mil milhões destinado a neutralizar as emissões de dióxido de carbono na Europa até 2050 está em disputa por vários países. A Comissão Europeia quer implementar um fundo de 100 mil …

Tribunal japonês suspende atividade de reator nuclear que tinha recebido luz verde

Um tribunal no Japão ordenou esta sexta-feira que o reator nuclear da central de Ikata (oeste do país) pare por razões de segurança, numa decisão que revoga uma anterior que deu luz verde ao seu …