Um pesquisador de segurança baseado no Reino Unido, com o nome de “fin1te”, ganhou ele mesmo $20,000 depois de descobrir uma maneira de invadir qualquer conta no Facebook, apenas enviando uma mensagem de texto para o celular.

Isso deveria – obviamente – ter sido impossível, mas devido a uma fraqueza no emaranhado de milhões e milhões de linhas em código do Facebook, potencialmente centenas de milhões de contas estavam vulneráveis ao seqüestro através da técnica simples.

Fin1te (nome real Jack Whitten) documentou como o hack funciona no seu blog.

A primeira coisa a fazer é enviar a letra “F” em uma mensagem SMS para o Facebook, como se você estivesse legitimamente registrando o seu telefone celular na rede social. No Reino Unido, o atalho de SMS para o Facebook é 32665.

Facebook responde, via SMS, com um código de confirmação de oito caracteres.

A sequência normal de eventos seria introduzir esse código de confirmação num formulário do Facebook, e seguir o seu alegre caminho…

But fin1te descobriu que existia uma vulnerabilidade nesse formulário, que podia ser explorada para usar o código de confirmação que lhe tinha sido enviado pelo Facebook via SMS com *qualquer outra conta*.

O que o fin1te tinha descoberto era que um dos elementos do formulário de activação do telemóvel continha, como parâmetro, o ID do perfil do utilizador. Esse é o número único associado à conta do seu alvo pretendido.

Mude o ID do perfil que é enviado por esse formulário para o Facebook, e a rede social pode ser enganada a pensar que você é outra pessoa ligando um telemóvel à sua conta.

Por isso, o primeiro passo necessário para seqüestrar a conta de alguém desta forma requer o ID do perfil único da sua vítima no Facebook.

Se você não sabe qual é o ID de perfil numérico de alguém, você pode sempre procurá-lo usando ferramentas disponíveis gratuitamente – elas não devem ser um segredo.

Certo que o fin1te conseguiu substituir o parâmetro de ID de perfil enviado pelo seu browser para o Facebook pelo número único da conta que ele queria acessar…

.. e em segundos seu celular foi enviado um SMS confirmando que ele tinha conectado com sucesso o dispositivo à conta.

Sucesso. Uma conta do Facebook agora tem um número de telemóvel de terceiros associado a ela. Sem qualquer necessidade de malware ou phishing. Tudo o que foi feito foi enviar uma mensagem de texto SMS.

A fase final do sequestro da conta é simples. O Facebook permite que você entre no seu sistema usando o seu número de celular em vez de um endereço de e-mail, se você quiser, então no login você digita o número de celular que você tem associado à conta da sua vítima, e solicita uma redefinição de senha via SMS.

Certo o suficiente, fin1te descobriu que o Facebook lhe enviou devidamente o código de redefinição de senha para a conta – o que significa que ele poderia alterar a senha da conta, e bloquear o seu usuário legítimo.

Esta é uma maneira incrivelmente simples, mas poderosa de assumir a conta de qualquer pessoa no Facebook.

A boa notícia é que o fin1te revelou a vulnerabilidade de forma responsável ao Facebook, em vez de explorá-la por intenções maliciosas ou vendê-la a outras partes. O Facebook corrigiu o problema para que outros não possam mais tirar proveito dessa grave falha de segurança. Pelos seus problemas, o Facebook concedeu ao fin1te uma recompensa pesada de $20.000 de bugs e corrigiu a vulnerabilidade.

Mas não há dúvida de que, no mercado clandestino, talvez vendido a cibercriminosos ou agências de inteligência, a descoberta do fin1te poderia ter lhe rendido ainda mais dinheiro.

Quem sabe que outras vulnerabilidades de segurança sérias podem estar dentro do Facebook, que não foram reportadas de forma responsável à equipe de segurança da empresa?

Se você está pensando em sair do Facebook, por que não ouvir este podcast “Smashing Security” que gravamos:

Fundou este artigo interessante? Siga Graham Cluley no Twitter para ler mais sobre o conteúdo exclusivo que postamos.