Um pesquisador de segurança descobriu uma maneira bem simples de tomar o controle sobre qualquer vídeo postado no Facebook.
Dan Melamed estava subindo um vídeo na rede social quando interceptou a requisição enviada para a ação e subtraiu o seguinte parâmetro: “composer_unpublished_photo[0]=Video ID”.
Como explica o Gizmodo, o “Video ID” é onde normalmente fica o código do vídeo a ser publicado. Melamed trocou tal numeração pela de um vídeo que já estava no ar e deu prosseguimento ao processo de publicação.
O Facebook retornou uma mensagem de erro, mas finalizou a publicação. Quando foi conferir o resultado, o pesquisador descobriu que o vídeo que ele originalmente tentou subir havia sido substituído pelo que foi indicado no meio do processo com a alteração do “Video ID”.
A rede social passou a interpretá-lo como publicador daquilo, concedendo-lhe poderes plenos sobre o vídeo, com a possibilidade de fazer coisas como bloquear comentários ou até deletar a publicação.
Ao invés de explorar a brecha, Melamed contatou o Facebook. A rede social não só arrumou o problema como ainda premiou o pesquisador com US$ 10 mil (o que equivale a cerca de R$ 31 mil).
Tags: