O Facebook corrigiu uma falha que permitia que sites maliciosos roubasem informações pessoais de perfis da rede social. Com isso, quem roubasse as informações poderia, por exemplo, postar mensagens em nome do usuário ‘roubado’. As informações são do site “The Register” e "Computerworld".

O problema, descoberto pelos pesquisadores Rui Wang e Zhou Li, era uma falha relacionada com a autenticação dos usuários na rede social. A vulnerabilidade entra em ação quando o usuário visita um site malicioso enquanto está logado no Facebook ou em perfis que rodam algum tipo de aplicativo.

“Se um usuário permitiu que algum site – como YouTube, Farmville, ESPN, entre outros – conecte-se automaticamente ao seu perfil, ele poderá ceder [sem perceber] seus dados pessoais para um site ou ter vários posts de phishing postados em seu mural”, explicou Rui.

Para mostrar como o ataque funciona, eles postaram um vídeo no YouTube que mostra como ocorre.  A apresentação mostra um site malicioso, criado por eles próprios para teste, que consegue, em um primeiro momento, descobrir o nome do usuário. Após conectar-se ao site da ESPN, foi possível ter acesso ao e-mail do perfil e sua data de nascimento.

Por fim, pelo fato de o aplicativo da ESPN ter a permissão de postar mensagens no mural do perfil, foi possível inserir uma mensagem com um link com o perfil roubado.

Como agradecimento aos pesquisadores, o nome deles foi incluído no Facebook Security, perfil oficial da rede social que posta mensagens sobre dicas de segurança, por terem informado o problema.