Por Redação O Sul | 5 de janeiro de 2021
Um bug no Facebook estava revelando a identidade de administradores de páginas da rede social mesmo quando os usuários optavam por omitir essa informação. A vulnerabilidade foi descoberta e relatada pelo pesquisador Shubham Bhamare, que recebeu US$ 5 mil (o equivalente a mais de R$ 26 mil) graças ao programa de recompensas Facebook Bug Bounty.
A falha ocorria quando o administrador vinculava uma página a algum grupo na rede social, mas optava por não usar seu perfil pessoal ao interagir na comunidade – com a intenção de evitar possíveis retaliações, o que costuma ocorrer em países com regimes autoritários, por exemplo. Dessa forma, toda atividade relacionada ao grupo seria automaticamente atrelada à página, não ao perfil do administrador.
No entanto, se o administrador criasse um documento dentro da plataforma de grupos do Facebook, o bug era ativado. Quando outros administradores selecionavam a opção ‘Histórico de Edições’ para ver as alterações feitas no arquivo, eles tinham a possibilidade de ver a identidade real do criador do grupo – o que é uma brecha nas opções de privacidade.
A única forma de contornar a situação era desmarcando a opção que permite que outros integrantes do grupo editem o documento. Agora, a rede social corrigiu a falha por meio de um patch.
Bhamare ainda descobriu que o bug ocorria também na aba ‘Arquivos’ e o próprio Facebook encontrou uma terceira ocorrência. Ambas também foram corrigidas pela empresa.
O caso ocorreu (e foi resolvido) em 2019, mas só agora veio à tona em um post no site do grupo de cibersegurança Save Breach, do qual Bhamare faz parte.
Coleta de dados
Há algumas semanas, informamos que o Facebook é, de longe, a rede social que mais coleta dados de usuários – algo que, apesar de inúmeras suspeitas, foi confirmado com a implantação das “informações nutricionais de aplicativos” na App Store.
Seguindo esse mesmo caminho, uma nova análise da Forbes revelou que o Facebook Messenger é o mensageiro que mais requer dados entre os principais aplicativos da categoria – acima até mesmo do WhatsApp, que também é do Facebook.
