Hacker mostra como se pode entrar em contas Facebook

O Facebook é onde está a vida de muitas pessoas. Fotos, links, vídeos, conversas privadas, informação pessoal, documentos enviados por chat, etc.

É por isso que o Facebook leva a área da segurança muito a sério, criando um bug bounty que oferece recompensas monetárias a hackers quando estes estão a “penetrar” o Facebook à procura de falhas de segurança.

Este hacker conseguiu entrar em contas de Facebook apenas com o poder da computação (ou seja, o CPU) e sem grande imaginação.

 

Como funciona isto?

O teu Facebook tem um ID. Esse ID é único e é apenas teu, Podes consultar o teu ID aqui. Além deste facto, sabes também que quando pedes para fazer o reset à tua password é gerado um código de seis dígitos.

E o que é que o hacker fez? Criou um script para fazer o reset da password a dois milhões de utilizadores. E depois, tentou através de bruteforce, forçar o uso de um conjunto de seis dígitos para fazer o reset da password e escolher uma password nova. Desta forma, qualquer conta de Facebook pode ser invadida.

Para evitar ser bloqueado, ele usou uma grande quantidade de IPs para parecer que era “tráfego normal” aos olhos do Facebook.

1a0038ba7661b529dfa63ecaa3beafae

 

Como saber se fui vítima disto?

Se o teu ID for encontrado neste ficheiro, foste vítima de uma tentativa. Isto não quer dizer que entraram na tua conta porque o hacker, sendo um hacker ético, não fez a alteração da password.

Mas não te preocupes, o Facebook já corrigiu a vulnerabilidade que permitia explorar esta falha. Embora o hacker tenha a impressão de que a correcção que o Facebook fez não é suficiente.

 

Como posso proteger a minha conta?

Se estás preocupado e pensas que isto te pode acontece, há uma (apenas uma!) forma de protegeres a tua conta. É activar a aprovação de logins. A aprovação de logins permite que, mesmo que uma pessoa saiba a tua password, tenhas que aprovar o login através do teu telemóvel ou de uma sessão de Facebook já iniciada. Caso contrário, mesmo com a password, não podem entrar na conta. 🙂

 

Se achas que este método teve algum valor em termos de pensamento e criatividade, não te preocupes que… podes saudar o hacker ético que o desenvolveu. Ele está no Twitter, com o nick @GurkiratSpeca, e também tem um blog onde descreveu toda esta actividade.

Compra aqui a tua VPN
Partilhe no Facebook

Floating Widgets