Uma brecha simples permitia controlar qualquer vídeo publicado no Facebook

Redação24/01/2017 10h42
20170119130851
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Um pesquisador de segurança descobriu uma maneira bem simples de tomar o controle sobre qualquer vídeo postado no Facebook.

Dan Melamed estava subindo um vídeo na rede social quando interceptou a requisição enviada para a ação e subtraiu o seguinte parâmetro: “composer_unpublished_photo[0]=Video ID”.

Como explica o Gizmodo, o “Video ID” é onde normalmente fica o código do vídeo a ser publicado. Melamed trocou tal numeração pela de um vídeo que já estava no ar e deu prosseguimento ao processo de publicação.

O Facebook retornou uma mensagem de erro, mas finalizou a publicação. Quando foi conferir o resultado, o pesquisador descobriu que o vídeo que ele originalmente tentou subir havia sido substituído pelo que foi indicado no meio do processo com a alteração do “Video ID”.

A rede social passou a interpretá-lo como publicador daquilo, concedendo-lhe poderes plenos sobre o vídeo, com a possibilidade de fazer coisas como bloquear comentários ou até deletar a publicação.

Ao invés de explorar a brecha, Melamed contatou o Facebook. A rede social não só arrumou o problema como ainda premiou o pesquisador com US$ 10 mil (o que equivale a cerca de R$ 31 mil).

Redator(a)

Redação é redator(a) no Olhar Digital