CENTRAL DO CLIENTE      2ª VIA BOLETO

SIGA-NOS!
Ajuda e Suporte 24H

Hackers e Tokens de Acesso no Facebook

Hackers e Tokens de Acesso no Facebook

O que é um ‘token de acesso’?

Quando você digita seu usuário e senha para acessar o Facebook, esses dados são validados. Caso estejam corretos, o Facebook fornece um “token de acesso” ao aplicativo ou ao navegador web. Esse token é um código gerado no momento do acesso e fica registrado pelo Facebook para associar aquele token à sua conta.

O token funciona como uma espécie de “crachá”: você digita a senha e recebe esse “crachá”. A cada acesso ao Facebook, esse token é reenviado pelo navegador ou pelo aplicativo, ou seja, seu “crachá” é apresentado. É dessa forma que o Facebook “lembra” de você e sabe quem você é, sem que a sua senha precise ser transmitida a cada acesso.

Os hackers obtiveram esses tokens de acesso e não as senhas. Como o Facebook invalidou tokens de milhões de usuários, o site não mais reconhece os “crachás” gerados anteriormente para esses perfis. Fazer um novo login, digitando a senha, gera um novo “crachá”, com um código único.

Como os tokens na prática funcionam como substitutos da senha, eles dão acesso a diversas partes do perfil. Certas funções (como a troca da senha ou a configuração da autenticação de duas etapas) exigem a própria senha ou acesso ao endereço de e-mail cadastrado. Segundo o Facebook, o acesso obtido pelos hackers tinha as mesmas permissões do acesso que é concedido o aplicativo de celular.

Como os hackers obtiveram tokens de acesso?

O token de acesso é gerado no momento do login e enviado apenas ao navegador ou aplicativo que informou a senha correta.

O que aconteceu é que havia outra parte do perfil capaz de gerar um token de acesso — o que não seria um problema, se essa parte do perfil só pudesse ser acessada por quem já tivesse um acesso validado.

Porém, essa parte do perfil — um criador de vídeos de aniversário — era, por erro, visível pela função “ver como”. A função “ver como” existe para visualizar o próprio perfil como outra pessoa e saber, por exemplo, se um post ou informação pessoal sua fica visível para determinados amigos ou para o público. Não há motivo para um criador de vídeos ser exibido nesse caso.

O que os hackers descobriram é que, ao utilizar o “ver como”, esse criador de vídeos — que precisava de autorização para cadastrar o vídeo em nome do usuário — gerava um token de acesso para o usuário escolhido no “ver como”. Ou seja, o hacker poderia visualizar o próprio perfil como um amigo e assim extrair um token de acesso para a conta desse amigo.

A função “ver como” fica limitada aos amigos de cada perfil. Porém, uma vez em posse do token de seus amigos, o hacker poderia continuar o procedimento extraindo tokens de amigos deles, usando a função “ver como” como esses amigos — afinal, ele possui o “crachá” para se identificar como essas pessoas.

O Facebook identificou o problema quando hackers automatizaram esse processo, acessando milhões de perfis. Isso gerou um pico de acesso. Quando os engenheiros investigaram esse tráfego de dados, o ataque foi identificado.

Nem todos os acessos invalidados estão envolvidos

Embora o Facebook tenha estimado que 50 milhões de perfis tiveram suas credenciais roubadas pelos hackers, outros 40 milhões de usuários também tiveram seus tokens invalidados. Essas são pessoas que utilizaram o recurso de “Ver como” do Facebook no último ano.
Esse segundo grupo teve seus tokens invalidados por cautela, mas a rede social ainda não informou quem pertence a qual grupo. No momento, não há como saber.

Embora se saiba que os hackers extraíram os tokens de acesso, não está claro se eles utilizaram esses tokens para extrair informações dos perfis. É possível que o Facebook tenha interrompido o ataque.

Múltiplas vulnerabilidades

O Facebook identificou três erros que levaram à viabilidade do ataque:

O criador de vídeo não deveria gerar um token de acesso
O criador de vídeo não deveria ser acessível pelo “ver como”
O criador de vídeo não deveria gerar um token de acesso em nome do usuário escolhido no “ver como”. O token deveria ser sempre do dono do perfil original
A função “ver como” está suspensa enquanto o Facebook investiga o ocorrido. Porém, o ataque foi inteiramente viabilizado pelo criador de vídeos que gerava tokens de maneira imprópria.

26 de outubro de 2018 By Redes Sociais , , 0 Comments
social position

Share this post

Author

Posts Relacionados

Reclamações nas REDES SOCIAIS – O que Fazer?

Com o aumento do uso das redes sociais, já era de se imaginar que os clientes passassem a usá-las [...]

3 de janeiro de 2019 By Redes Sociais0 Comments
Estrutura social composta por pessoas ou organizações …

Estrutura social composta por pessoas ou organizações, conectadas por um ou vários tipos de relações, que compartilham valores e objetivos comuns. [...]

19 de setembro de 2018 By Redes Sociais, , , , , , , , , , 0 Comments
Redes Sociais e suas tendências neste ano

Tudo o que aconteceu no ano passado tem um peso importante nos próximos anos. Confira algumas tendências e comece já [...]

5 de março de 2019 By Redes Sociais0 Comments
E-Mail Marketing – Crie um Bom em Três Passos

O e-mail marketing está longe de ser um spam e só deve apresentar o que é realmente relevante para [...]

12 de março de 2019 By Dicas, Redes Sociais0 Comments
Escrever Textos – Aplicativos que auxiliam no iOS e Android

Escrever textos no smartphone, muitas vezes é exaustivo quando não se tem as ferramentas certas. Muitas pessoas hoje em dia, [...]

21 de março de 2019 By Dicas, Entretenimento, Redes Sociais0 Comments
Como Ser um Youtuber Gamer – Por que Não?

Youtuber Gamer – Nesse artigo, você aprenderá a criar um canal de games no YouTube. A fama e o [...]

1 de novembro de 2018 By Entretenimento, Redes Sociais, , , , 0 Comments
Ver Vídeos do YouTube – Velocidade da Internet

Como a velocidade da internet interfere na reprodução dos vídeos que assistimos no YouTube, e como descobrir se sua [...]

9 de outubro de 2018 By Redes Sociais, , , , , , , 0 Comments
Dicas para empreender e ter sucesso na internet!

Para você que deseja empreender na internet, está pensando em transformar o seu negócio em uma loja virtual ou [...]

13 de setembro de 2018 By Empreendedorismo, Redes Sociais, , , , , , , , , , , , Comments Off
Redes Sociais
Conheça as Redes Sociais mais usadas no Brasil

Conheça as Redes Sociais mais usadas no Brasil com dados atualizados para 2018! Presentes na vida de grande parte das [...]

4 de setembro de 2018 By Redes Sociais, , , , , , , , , , 0 Comments
Youtuber Mirim: Isso é Bom ou Ruim?

Meu filho quer ser um Youtuber mirim: Isso é bom ou ruim? Para criar e administrar um canal no YouTube, [...]

30 de outubro de 2018 By Redes Sociais, 0 Comments