Facebook limita e reativa recurso utilizado em ataque que acessou milhões de contas


Função “Ver como” estava indisponível desde setembro, quando ataque obteve tokens de acesso de milhões de perfis em setembro. Sede do Facebook, na Califórnia
Thiago Lavado/G1
O Facebook anunciou esta semana que começou a reativar a função “Ver como”, desativada em setembro após hackers descobrirem uma falha que recolheu dados de acesso de milhões de usuários. O recurso permite que o usuário visualize seu perfil da mesma forma que ele é visto por outras pessoas da rede.
O “ver como” pode ser utilizado para conferir quais dados do perfil estão expostos ao público, inclusive postagens, curtidas, informações pessoais como trabalho e estudo, entre outros. Assim, é possível ter certeza que todos os ajustes de privacidade estão corretos e que não está ocorrendo qualquer exposição acidental.
Embora tenha sido reativado apenas mais de sete meses após o incidente de segurança, o recurso ainda sofre restrições. Se é possível visualizar o perfil da mesma forma que ele é visto por outros usuários da rede que não estiverem na lista de amigos.
O recurso ainda não está disponível para todos os usuários. No aplicativo de celular, o botão “Ver como” deve aparecer na visualização do próprio perfil, ao lado de “Adicionar ao story”.
Simulação de pessoa específica segue indisponível
Antes de ser desativada, em setembro, o “ver como” simular a visualização do perfil por outros usuários da rede, permitindo ver os dados do perfil aos quais alguém específico tinha acesso. Segundo o Facebook, esse modo era muito menos utilizado.
Porém, foi exatamente a possibilidade de “ver como uma pessoa específica” que viabilizou o ataque em setembro. Por causa de um erro em outro recurso do próprio Facebook — um criador de vídeos de aniversário -, os hackers conseguiram usar esse recurso para obter os chamados “tokens de acesso”, que funcionam como substitutos da senha para conceder acesso ao perfil. Para isso, bastava que o hacker navegasse no Facebook com a visualização de outra pessoa e acessasse o criador de vídeos. O código página revelava um token de acesso dessa pessoa, dando acesso ao perfil dela.
Em outras palavras, a segurança dessa modalidade do “Ver como” não depende apenas do recurso, mas também de outros conteúdos que podem ser visualizados na rede. Porém, a auditoria feita pelo Facebook concluiu que a possibilidade de ver o perfil “público” não teve envolvimento no ataque de setembro e por isso está sendo reativada isoladamente.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com