Brasileiro ganha quase R$ 80 mil por descobrir falha grave no Facebook

Com sua descoberta, seria possível invadir e tomar o total controle da rede social, tudo isso por meio de um erro de programação


Reginaldo Silva é um “caçador de bugs” e acaba de levar para casa uma bolada de quase R$ 80 mil. Isso porque ele descobriu uma falha no Facebook e recebeu o maior prêmio já dado pelo programa Facebook Bug Bounty, criado em 2011.
Silva é um engenheiro da computação formado no Instituto Tecnológico de Aeronáutica (ITA) e encontrou uma falha onde programas externos conseguiam ler arquivos dentro do servidor de web do Facebook. Ele relatou a falha em novembro e, em um post feito pelo próprio Facebook, o programa Facebook Bug County confirmou que já corrigiu a vulnerabilidade e dará o prêmio de quase R$ 80 mil para o brasileiro por sua descoberta.
Entramos em contato com Silva e ele descreveu rapidamente qual era a falha – e, de fato, era algo bem grave:
"A falha estava presente na parte do Facebook que normalmente é acessada quando um usuário esquece a sua senha. Por causa de um erro de programação, era possível ler arquivos armazenados no servidor como, por exemplo, arquivos de configuração, bem como outras informações que só deveriam ser acessíveis pelos sistemas internos do Facebook. Além disso, descrevi um cenário que permitia tomar totalmente o controle do site e, embora não tenha testado tal cenário em primeira mão, pois não seria ético fazê-lo sem permissão, os engenheiros que cuidam da segurança do Facebook confirmaram que o ataque por mim descrito poderia ter sido executado na prática. Em resumo, descobri uma falha que permitiria a invasão do Facebook."
Segundo o Silva, a falha é bastante semelhante a uma outra que ele já tinha descoberto em 2012, e, ao ler um manual de software criado pelo Facebook, ele teve a ideia de tentar aplicá-la à rede social. Ela funcionou – e felizmente já foi corrigida.
Programas de caça a erros são comuns em empresas de internet e tecnologia em geral, e muitas vezes rendem prêmios bem gordos em dinheiro pela descoberta de vulnerabilidades de segurança. No caso do Facebook, não há um valor máximo a ser dado para quem detecta um bug – antes de Silva, um britânico recebeu US$ 20 mil pela descoberta de outra falha.

Fonte: FOLHA DE SP, 29.01.2014

Postar um comentário

0 Comentários