jan 06

Bug no Facebook expõe identidade de administradores de páginas

Um bug no Facebook estava revelando a identidade de administradores de páginas da rede social mesmo quando os usuários optavam por omitir essa informação. A vulnerabilidade foi descoberta e relatada pelo pesquisador Shubham Bhamare, que recebeu US$ 5 mil (o equivalente a mais de R$ 26 mil) graças ao programa de recompensas Facebook Bug Bounty.

A falha ocorria quando o administrador vinculava uma página a algum grupo na rede social, mas optava por não usar seu perfil pessoal ao interagir na comunidade – com a intenção de evitar possíveis retaliações, o que costuma ocorrer em países com regimes autoritários, por exemplo. Dessa forma, toda atividade relacionada ao grupo seria automaticamente atrelada à página, não ao perfil do administrador.

Administrador pode optar por interagir no grupo usando uma página, em vez de seu perfil pessoal. Crédito: Save Breach/Reprodução

No entanto, se o administrador criasse um documento dentro da plataforma de grupos do Facebook, o bug era ativado. Quando outros administradores selecionavam a opção ‘Histórico de Edições’ para ver as alterações feitas no arquivo, eles tinham a possibilidade de ver a identidade real do criador do grupo – o que é uma brecha nas opções de privacidade.

Histórico de edições revelava a identidade do administrador, mesmo contra sua vontade. Crédito: Save Breach/Reprodução

A única forma de contornar a situação era desmarcando a opção que permite que outros integrantes do grupo editem o documento. Agora, a rede social corrigiu a falha por meio de um patch.

Para evitar a brecha, era necessário revogar a permissão para que outros membros do grupo pudessem editar o documento. Crédito: Save Breach/Reprodução

Bhamare ainda descobriu que o bug ocorria também na aba ‘Arquivos’ e o próprio Facebook encontrou uma terceira ocorrência. Ambas também foram corrigidas pela empresa.

O caso ocorreu (e foi resolvido) em 2019, mas só agora veio à tona em um post no site do grupo de cibersegurança Save Breach, do qual Bhamare faz parte.

FONTE: https://olhardigital.com.br/2021/01/05/noticias/bug-no-facebook-expoe-identidade-de-administradores-de-paginas/