O caso foi relatado por Orange Tsai, da firma de cibersegurança Devcore, sediada em Taiwan. Segundo o texto publicado no blogue da empresa, Tsai estava a tentar descobrir vulnerabilidades no servidor do Facebook, que em 2012 lançou o Bug Bounty Program – isto é, um programa em que paga recompensas a quem descobrir falhas nos seus sistemas.
Tsai descobriu sete vulnerabilidades e reportou-as à equipa de segurança do Facebook e à Accellion, a fabricante do produto de transferência segura de dados em que Tsai detetou problemas. Recebeu 10 mil dólares como compensação, tal como está previsto no programa de “bounties”.
Foi aqui que Tsai identificou um comportamento inesperado. “Quando estava a recolher detalhes das vulnerabilidades e evidências para o Facebook, descobri algo estranho no web log”, explica o investigador. Tsai seguiu mensagens de erro causadas pela modificação de código online e foi dar a ficheiros deixados por “visitantes” anteriores.
Em resumo, um hacker tinha entrado e criado um proxy na página de credenciais para recolher os dados de entrada dos colaboradores do Facebook. Estas passwords estavam armazenadas no diretório web para que o hacker as pudesse usar de vez em quando.
Tsai garante que o intruso conduziu operações no servidor em julho e setembro do ano passado.
A equipa de segurança do Facebook confirmou que este é software de terceiros, e que como tal é corrido em servidores isolados dos sistemas que armazenam os dados que os utilizadores da rede social partilham. Reginaldo Silva, responsável da equipa, publicou na Hacker News uma pequena explicação do sucedido, conforme sinalizado pela Forbes.
“Depois da resposta ao incidente, determinámos que a atividade que o Orange detetou foi, de facto, a de outro investigador que participa no nosso programa de bounties”, escreveu Reginaldo. “Nenhum deles conseguiu comprometer outras partes da nossa infraestrutura, pelo que, da nossa perspetiva, é uma vitória dupla: dois investigadores competentes testaram o sistema, um deles reportou o que encontrou e recebeu uma boa recompensa, nenhum deles conseguiu ter mais acesso.”
O que não fica claro é o comportamento do outro investigador, como lhe chama o Facebook, visto que aparentemente não reportou a vulnerabilidade encontrada para reclamar o prémio.
Com o lançamento de KATA 7.0, as organizações podem agora beneficiar de capacidades melhoradas de…
Novos monitores Predator X32 X2 e X27U X1 oferecem imagens de jogo nítidas, com uma…
Adolfo Martinho sucede a Manuel Maria Correia, que liderou a empresa em Portugal desde a…
A Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a…
O Researcher e o Analyst vão começar a ser disponibilizados para clientes com licença do…
Ao longo da sua carreira, Ricardo Morais assumiu responsabilidades em gestão de clientes e desenvolvimento…