Você está na página 1de 7

Como hackear qualquer conta do Facebook em

menos de um minuto, enviando apenas um


SMS
Share

111

89

Um pesquisador de segurança baseado no Reino Unido conhecido pelo nome


de “fin1te” ganhou US $ 20.000 após descobrir uma maneira de invadir qualquer
conta do Facebook, apenas enviando uma mensagem de texto de telefone
celular.This should – obviously – have been impossible, but due to a weakness
no emaranhado de milhões e milhões de linhas de código do Facebook,
potencialmente centenas de milhões de contas eram vulneráveis a sequestros
por meio de uma técnica simples.

Fin1te (nome verdadeiro Jack Whitten) documentou como o hack funciona em


seu blog.

A primeira coisa a fazer é enviar a letra “F” numa mensagem SMS para o
Facebook, como se estivesse a registar legitimamente o seu telemóvel na rede
social. No Reino Unido, o código de acesso SMS para o Facebook é 32665.

O Facebook responde, via SMS, com um código de confirmação de oito


caracteres.
A sequência normal de eventos seria inserir esse código de confirmação em um
formulário do Facebook e seguir em frente ...

Mas fin1te descobriu que existia uma vulnerabilidade nesse formulário, que
poderia ser explorada para usar o código de confirmação que ele havia enviado
pelo Facebook via SMS com a conta de * qualquer * outra pessoa.

O que a fin1te descobriu foi que um dos elementos do formulário de ativação


móvel continha, como parâmetro, o ID do perfil do usuário. Esse é o número
exclusivo associado à conta do seu alvo pretendido.

Altere o ID do perfil que é enviado por esse formulário para o Facebook, e a rede
social pode ser enganada e pensar que você é outra pessoa vinculando um
telefone celular à sua conta.
Portanto, a primeira etapa necessária para sequestrar a conta de alguém dessa
forma requer o ID de perfil exclusivo da sua vítima no Facebook.
Se você não sabe qual é o ID numérico do perfil de alguém, você sempre pode
procurá-lo usando ferramentas totalmente disponíveis - elas não deveriam ser
um segredo.

Com certeza, fin1te foi capaz de substituir o parâmetro de ID do perfil enviado


por seu navegador para o Facebook pelo número exclusivo da conta que ele
queria acessar ...
.. e em segundos seu celular recebeu um SMS confirmando que ele havia
conectado com sucesso o dispositivo à conta.

Sucesso. Uma conta do Facebook agora tem um número de celular de terceiros


associado a ela. Sem necessidade de malware ou phishing. Tudo o que foi feito
foi enviar uma mensagem de texto SMS.

O estágio final do sequestro de conta é direto. O Facebook permite que você


faça login em seu sistema usando o número do seu celular em vez de um
endereço de e-mail, se desejar, então, ao fazer o login, você insere o número do
celular que você associou à conta da vítima e solicita uma redefinição de senha
via SMS.
Com certeza, fin1te descobriu que o Facebook devidamente enviou a ele o
código de redefinição de senha da conta - o que significa que ele poderia alterar
a senha da conta e bloquear seu usuário legítimo.

Esta é uma maneira incrivelmente simples, mas poderosa de assumir o controle


da conta de qualquer pessoa no Facebook.

A boa notícia é que a fin1te divulgou a vulnerabilidade de forma responsável ao


Facebook, em vez de explorá-la para intenções maliciosas ou vendê-la para
terceiros. O Facebook corrigiu o problema para que outras pessoas não possam
mais tirar proveito dessa grave falha de segurança. Por seus problemas, o
Facebook concedeu a fin1te uma recompensa de bugs no valor de $ 20.000 e
corrigiu a vulnerabilidade.

Mas não há dúvida de que no mercado clandestino, talvez vendido para


cibercriminosos ou agências de inteligência, a descoberta de fin1te poderia ter
rendido a ele ainda mais dinheiro.
Quem sabe quais outras vulnerabilidades de segurança graves podem estar
dentro do Facebook que não foram relatadas de forma responsável à equipe de
segurança da empresa?

Se você estiver no Facebook e quiser se manter atualizado sobre os riscos de


privacidade e segurança que ameaçam os usuários, certifique-se de curtir a
página “Graham Cluley Security News” no Facebook.

Você também pode gostar