 |
| Pesquisar de segurança consegue hackear parte da infraestrutura do Instagram. |
O pesquisador de segurança Wesley Wineberg e o Facebook se desentenderam depois que Wineberg conseguiu hackear parte da infraestrutura do Instagram. Wineberg acredita que suas ações estavam dentro do permitido pelo programa de recompensas do Facebook, que paga especialistas que descobrem falhas de segurança. Para o Facebook, porém, Wineberg tomou atitudes que violam as regras do programa, como a de evitar o acesso a dados pessoais, e, por isso, não será pago por parte das suas descobertas.
Apesar de ter conseguido acessar a infraestrutura do Instagram e de ser acusado de violar as regras do programa de recompensas, o pesquisador não divulgou nenhuma informação confidencial do site ou dos usuários. O Facebook confirma que nenhuma informação de usuários foi acessada.
Wineberg encontrou uma vulnerabilidade grave em um servidor do Instagram e relatou o problema ao Facebook no dia 21 de outubro. Enquanto os engenheiros da rede social investigavam o erro, o pesquisador continuou procurando brechas a partir do caminho que encontrara e, três dias depois, conseguiu senhas e chaves de acesso para o serviço de armazenamento on-line e distribuição de conteúdo Amazon S3. Lá, Wineberg conseguiu ainda mais dados do Instagram, incluindo código fonte, chaves de segurança e chaves de acesso para o Twitter, Flickr e outros serviços que foram autorizados pelos usuários, bem como senhas para o servidor de e-mail.
Para o Facebook, nada disso foi válido. Segundo Alex Stamos, diretor de segurança do Facebook, Wineberg violou os termos do programa de recompensa quando baixou as chaves de acesso. Segundo Stamos, a presença dessas chaves no servidor comprometido e a possibilidade de acesso através delas não são consideradas vulnerabilidades e sim o "comportamento esperado", enquanto Wineberg argumenta que o ideal é que a invasão de um servidor não permita a invasão de outras partes da infraestrutura.
Segundo Stamos, as chaves foram trocadas após o relato de Wineberg. A falha que permitiu o ataque também foi fechada.
Pesquisador se diz vítima de ameaça
Wineberg recebeu uma oferta de US$ 2,5 mil (cerca de R$ 10 mil) por uma só vulnerabilidade. As demais foram consideradas inelegíveis.
No dia 1º de dezembro, o presidente da empresa onde Wineberg trabalha -a Synack - recebeu um telefonema de Stamos para discutir as ações do funcionário. Mas Wineberg não estava realizando a pesquisa em nome da empresa: toda a comunicação com o Facebook ocorrera a partir do seu e-mail pessoal.
Wineberg entendeu a atitude do diretor do Facebook como uma ameaça. A rede social também não queria que ele divulgasse que conseguiu acesso aos dados no Amazon S3. O pesquisador decidiu vir a público com a história na quarta-feira passada (16).
Na quinta-feira (17), Stamos publicou seu post respondendo ao pesquisador e negando que sua intenção tenha sido a de ameaça-lo. Ele disse ainda que o Facebook tinha motivos para crer que Wineberg atuava em nome da Synack.
Falha já era conhecida
Na publicação de Alex Stamos no Facebook, diversos comentaristas, inclusive os que concordam que Wineberg foi longe demais, criticam as ações de Stamos por ter tentado resolver o assunto com a empresa e não pessoalmente com o pesquisador. Ele e Wineberg não chegaram a conversar diretamente.
Stamos diz que o valor de US$ 2,5 mil foi atribuído porque a falha já era de conhecimento de sua equipe e admite que o Facebook "não fez a triagem desse problema rápido o bastante". Comentaristas apontaram que, se uma falha tão grave permanecia aberta, o Facebook provavelmente não havia percebido a urgência da questão.
Em 2014, o brasileiro Reginaldo Silva descobriu uma brecha do mesmo tipo (chamada de "RCE", na sigla em inglês, para "execução de código remoto") no Facebook e recebeu US$ 33,5 mil (cerca de R$ 135 mil na cotação de hoje; R$ 79 mil à época) pela descoberta - 13 vezes mais.
O desentendimento é possivelmente o maior até hoje envolvendo o programa de recompensas do Facebook. Stamos disse que as regras precisam ser mais claras e que mudanças serão feitas nesse sentido.
