Cerca de 90 milhões de usuários do Facebook tiveram seus tokens de acesso redefinidos pela empresa, depois que a equipe de segurança da rede social identificou um ataque às credenciais de acesso de pelo menos 50 milhões de contas.
Em comunicado publicado na sala de imprensa do Facebook, Guy Rosen, vice-presidente de gestão de produto da empresa, explica que os responsáveis pelo ataque exploraram uma vulnerabilidade do código da rede social associada à ferramenta Ver Como, que permite que o usuário visualize seu perfil como se fosse outra pessoa.
“Isso lhes permitiu roubar os tokens de acesso ao Facebook, os quais eles então poderiam usar para assumir as contas das pessoas”, afirmou Rosen.
Os tokens de acesso, conforme esclareceu a nota, equivalem a chaves digitais que mantêm as pessoas logadas no Facebook, de forma que elas não precisem colocar sua senha toda vez que forem usar o aplicativo.
O Facebook comunicou que a vulnerabilidade foi corrigida e que o ataque foi comunicado às autoridades, além de a empresa ter redefinido os tokens de acesso de 50 milhões de contas que foram sabidamente afetadas. “Também tomamos a precaução de restabelecer os tokens de acesso de outras 40 milhões de contas que tiveram visualizações com o recurso Ver Como no ano passado.” No total, portanto, 90 milhões de usuários tiveram que efetuar um novo login no Facebook.
De acordo com Afonso Coutinho, membro do Garoa Hacker Clube, em São Paulo, os responsáveis pelo ataque não conseguiram obter as senhas dos usuários ao explorar a vulnerabilidade do sistema, mas tiveram acesso às contas.
“Trata-se de uma falha do sistema. A única medida protetiva possível para o usuário seria sempre deslogar do Facebook quando não fosse mais usá-lo – entretanto, ainda assim ele poderia sofrer um ataque durante o uso”, aponta.
Ao assumir a conta de um usuário, o responsável pelo ataque pode não apenas ter curtido páginas e perfis aos quais ele tivesse interesse de dar mais visibilidade, por exemplo, mas também acessar outros serviços nos quais, eventualmente, a pessoa autentica o seu usuário com a conta do Facebook.
A empresa declarou que não descobriu ainda os possíveis impactos sobre contas e informações de usuários, bem como a identidade dos responsáveis pelo ataque.
