Siga o Suporte Ninja por email

segunda-feira, 23 de março de 2015

Vulnerável - Não logar em sites de 3° usando o Facebook

Vulnerável - Não logar em sites de 3° usando o Facebook
(Foto: flickr/ creative commons)

Conduta online vulnerável, não se deve usar a autenticação em sites de 3° usando o ID da sua conta do Facebook


Convenhamos – é muito chato precisar fazer uma senha e login novos para cada serviço que você usa na web. É muito mais cômodo centralizar todas as suas contas em um serviço só, como o Facebook, que oferece um botão de autenticação que pode ser usado em inúmeros outros sites, como o portal de reservas de hotéis Booking.com, o publicador de vídeo Vimeo… enfim, apostamos que, se você é usuário da rede de Zuckerberg, tem vários serviços atrelados a sua conta por lá. Porém temos uma má notícia: suas informações nestes outros websites estão em risco.



Um pesquisador chamado Egor Homakov encontrou um bug que permite que as informações pessoais cadastradas nestes serviços sejam roubadas.


Ele criou uma ferramenta chamada RECONNECT que tira vantagem dessas falhas que surgem quando a autenticação por login do Facebook é implementada nesses serviços. Tudo para demonstrar que um hacker pode obter a conta de uma vítima se ela clicar em um link malicioso.

Especialistas em segurança online revisaram a pesquisa a pedido do site Motherboard e confirmaram que o bug é legítimo – mas não sabem afirmar se ele ainda está ativo devido às denúncias de Egor. De acordo com Patrick Nielsen, pesquisador do Kaspersky Lab, a ferramenta desenvolvida permite que um hacker tome conta de um cookie de uma pessoa no website alvo e acesse a conta da vítima no mesmo. O que é extremamente preocupante em serviços que guardam informações sobre cartões de crédito dos usuários por exemplo.

Vale ressaltar: o hacker não consegue se apossar da conta do Facebook da vítima, mas sim das contas em sites que usam o sistema de login do Facebook, ou seja não é o Facebook que está vulnerável e sim os sites que utilizam estes serviços de autenticação via ID do Facebook.


Egor afirma que descobriu que estava vulnerável no ano passado e o denunciou que existiam estes logins vulnerável para o Facebook


O Facebook que não fez nada sobre o login vulnerável. Então ele resolveu criar a ferramenta para provar ao pessoal do Zuckerberg o bug que deixa o sistema de login vulnerável. Já o Facebook declarou ao Motherboard que o bug já era conhecido deles, mas que pode ser prevenido por desenvolvedores na hora da implementação do botão se as ‘melhores práticas’ aconselhadas pelo Facebook forem seguidas.

O melhor conselho nesse caso?

Criar contas novas com logins e senhas diferentes para cada serviço que você usa na internet e não centralizar todos em uma só rede, como o Facebook


 Vale não clicar em links suspeitos que possam aparecer na hora de fazer o login. Afinal, no caso do Reconnect, o usuário precisa clicar em um pop up que surge na página para que a brecha na segurança seja aproveitada.

O Suporte Ninja vai publicar em breve algumas dicas de práticas online mais saudáveis, rápidas e práticas que não deixe nossos clientes em estado tão vulnerável


Todos os direitos da Adaptação reservados a Suporte Ninja

Blog: Suporte ninja