O que sabemos sobre o ataque ao Facebook que afetou 90 milhões de contas

O Facebook sofreu um ataque que afeta 50 milhões de perfis e provocou o logoff de um total de 90 milhões de contas

Melissa Cruz Cossetti
Por
• Atualizado há 1 ano e 6 meses
Facebook / Bootcamp

Nesta sexta-feira (5), faz uma semana que o Facebook sofreu um ataque que afeta 50 milhões de contas e provocou o logoff de um total de 90 milhões. Em meio ao debate político no Brasil, o assunto despertou atenção mas seguiu “morno” nos dias seguintes. A rede social afirma que a investigação preliminar está em andamento, mas dividiu algumas informações com usuários e se tornou alvo de ações jurídicas até no Brasil.

Atualização sobre segurança

Foi na tarde de sexta-feira (28), horário de Brasília, que o Facebook veio a público com uma nota oficial informando que seu time de engenharia descobriu o que chamou de um incidente de segurança que afetou quase 50 milhões de contas, sem informar o número exato. E disse que os hackers invasores exploraram uma falha no código que impactou o “Ver Como” (que permite ver como seu perfil aparece para outras pessoas).

A rede social diz que o time descobriu o incidente nesta data, mas não informa, de fato, quando o incidente ocorreu. Não fica claro se a descoberta aconteceu no momento da tentativa ou se foi feita depois (pouco ou muito depois) da invasão ter ocorrido de fato.

A invasão (palavra usada pela rede social) permitiu que fossem roubados tokens de acesso, “os quais usaram para entrar nas contas das pessoas”. Neste ponto, o Facebook está afirmando que entraram em contas de usuários, sem autorização. A versão é inglês do comunicado é mais suave: “they could then use to take over people’s accounts”.

Neste ponto, o Facebook também não assume se houve ou não vazamento de dados.

O que são tokens de acesso?

Tokens são como chaves digitais. São elas que mantêm as pessoas logadas no Facebook para que não precisem digitar novamente a senha sempre que acessam o app.

Ou seja, roubaram uma “versão da sua senha”. Sobre tokens, a plataforma afirma que, quando alguém se conecta a um aplicativo usando o “Login do Facebook” e aprova a solicitação de permissão, o aplicativo obtém um token de acesso (uma chave digital) que fornece acesso protegido (encriptado) e temporário para as APIs do Facebook.

Um token é composto por uma cadeia de caracteres que identifica um usuário, aplicativo ou página, obtido por vários métodos. Ainda segundo o Facebook, o token inclui informações sobre quando vai expirar e qual aplicativo o gerou. Na rede social, há quatro tipos de token de acesso: do usuário, do aplicativo, da página e do cliente.

O que o Facebook já fez?

Na mesma sexta-feira, a rede social informou que corrigiu a vulnerabilidade no “View As” (no caso, suspendeu o acesso ao recurso) e informou autoridades sobre o ocorrido.

Com o risco de os invasores, em posse desses tokens, acessarem as contas dos usuários, o time de engenharia optou por invalidar os tokens das quase 50 milhões que o Facebook já sabe que foram afetadas. Por precaução, também foram invalidados tokens de acesso de outras 40 milhões de contas que usaram o “Ver Como” no último ano, somando 90 milhões de pessoas afetadas pela manobra e seus desdobramentos.

Você foi desconectado

Foi essa iniciativa que gerou o impacto imediato sentido pela maioria dos usuários a partir da noite anterior, na quinta-feira (27). Cerca de 90 milhões de pessoas no mundo precisaram se logar novamente ao Facebook e a aplicativos em que usaram o Facebook Login para criarem suas contas. Essas mesmas pessoas, depois de fazer o login novamente, receberam uma notificação no topo do Feed de Notícias sobre o incidente.

Como aconteceu o ataque ao Facebook?

De imediato, não houve um detalhamento técnico, mas a plataforma deu algumas pistas do que aconteceu. O ataque explorou o que foi chamado de “interações complexas envolvendo uma série de problemas/ocorrências” no código do Facebook.

Tudo teria tido início em uma mudança feita na ferramenta de upload de vídeo em julho de 2017, que impactou o “Ver Como”. Quem encontrou a falha, usou-a para ter acesso a um token e saltaram de conta em conta para roubar mais e mais tokens, em série.

Ninguém sabe, ninguém viu
Guy Rosen, vice-presidente de gerenciamento de produto, que assinou o comunicado e não compartilhou mais detalhes. A rede social também não tinha batido o martelo se as contas foram mal utilizadas ou se alguma informação foi acessada. “Nós também não sabemos quem está por trás desses ataques ou onde os invasores estão localizados”,  encerrou Rosen, prometendo novos resets de token se fosse necessário fazê-los.

Guy Rosen- Facebook

Mark Zuckerberg, fundador da rede social, também publicou um comunicado parecido no seu perfil em que dizia que não era necessário que ninguém mudasse sua senha. Porém, quem não se lembrava da senha teve que apelar para redefini-la no site.

O executivo também afirmou que quem quisesse deslogar do Facebook ou deslogar aplicativos e dispositivos conectados, por precaução, bastava visitar a área de “Segurança e Login” dentro das “Configurações” e fazê-los com apenas um clique.

Detalhes técnicos no ataque ao Facebook

Na mesma data, houve uma coletiva com Rosen, para a mídia americana. Horas depois, vieram mais e novas informações. Pedro Canahuati, vice-presidente de engenharia, segurança e privacidade assinou um update no comunicado, com o passo a passo.

Nele dizia que “no início da última semana de setembro” foi descoberto que um ator externo atacou sistemas e explorou a falha que expôs tokens no HTML durante o processamento de um componente específico do “Ver como”, na interação de três bugs.

  • Terça-feira: foi descoberto o ataque à plataforma.
  • Quinta-feira: corrigiram a falha e fizeram logoff.

“Isso é uma coisa muito séria e estamos investigando muito”, disse Rosen em um vídeo.

A triangulação de erros:

  1. O “Ver como” deveria ser uma interface de visualização. Mas, na caixa de edição que permite postar no Facebook – especificamente a versão que permite que as pessoas desejem feliz aniversário – deu a oportunidade de postar um vídeo.
  2. Uma nova versão do uploader de vídeos, apresentada em julho de 2017, gerou um token de acesso que dava as mesma permissões do aplicativo móvel do Facebook.
  3. Quando o uploader aparecia no “Ver como”, gerava o token de acesso não para o próprio dono do perfil, mas para o usuário que você estava pesquisando.

A combinação dos três bugs criou o caminho perfeito para a falha: usar o “Ver como” para visualizar seu perfil como se fosse um amigo, ter um uploader de conteúdo válido que permite que as pessoas lhe desejem feliz aniversário e um uploader de vídeos que gerava um token de acesso quando não deveria. Quando o token foi gerado, não era para o usuário mas para a pessoa que estava sendo consultada. O token ficava disponível no HTML da página, e os invasores conseguiram extrai-lo e fazer login como se fosse o outro usuário que você estava pesquisando, em 50 milhões de contas.

De lá para cá, havia dúvida se aplicativos que usam o Facebook Login foram afetados. E, como se trata de um bug que nasceu em 2017, a rede social parece ter dado passos atrás nos updates de código. Muita gente reclamou do comportamento do Facebook nos últimos dias. O meu, por exemplo, trouxe de volta vários grupos que já saí.

Sem evidências sobre Facebook Login

Rosen voltou a se manifestar só na terça-feira (2). De acordo com ele, ao reiniciar os tokens de acesso, as contas dos usuários foram protegidas. E, concluída a análise de logins de todos os aplicativos de terceiros instalados ou logados durante o ataque, a investigação não encontrou evidência até o momento de que os invasores tenham acessado aplicativos usando o Facebook Login – desde que o desenvolvedor esteja usando os SDKs oficiais.

facebook-way

“Por precaução adicional, como alguns desenvolvedores podem não ter usado nossos SDKs – ou checado regularmente se os tokens de acesso do Facebook eram válidos – nós estamos desenvolvendo uma ferramenta para permitir que os desenvolvedores possam manualmente identificar usuários de seus aplicativos que possam ter sido afetados, para que então eles possam desconectá-los”, adicionou Rosen, que não se comunicou mais nem deu prazo para a chegada dessa nova ferramenta ao Developer.

A rotina de lançamentos de novos recursos no Facebook seguiu normalmente, incluindo funções para as Eleições 2018, Market Place e Páginas de Fãs e Marcas. A rede social não quis comentar sobre os incidentes envolvendo a volta de grupos, logoffs indesejados e outras reclamações que pipocaram na própria rede social e no Twitter.

Em 12 de outubro, a rede social fez uma atualização sobre o caso e afirmou que o número de contas comprometidas foi menor que o esperado — embora tenha deslogado 90 milhões: “menos pessoas foram impactadas do que o que pensávamos inicialmente. Das 50 milhões de pessoas que tiveram o acesso ao token comprometido, nós acreditamos que na verdade 30 milhões delas tiveram seus tokens roubados“, mais detalhes nas últimas notícias. O site também explicou quais dados foram comprometidos.

Relacionados

Escrito por

Melissa Cruz Cossetti

Melissa Cruz Cossetti

Ex-editora

Melissa Cruz Cossetti é jornalista formada pela UERJ, professora de marketing digital e especialista em SEO. Em 2016 recebeu o prêmio de Segurança da Informação da ESET, em 2017 foi vencedora do prêmio Comunique-se de Tecnologia. No Tecnoblog, foi editora do TB Responde entre 2018 e 2021, orientando a produção de conteúdo e coordenando a equipe de analistas, autores e colaboradores.

Temas populares