É pessoal!! Acho que a equipe de segurança do Facebook chutou algum ebó ( macumba ) por esses dias porque nos últimos dias os blogs e sites especializados em segurança lançaram alguns Full-Disclosures sobre este que é uns dos maiores sites de redes sociais. Segundo o site Alexa o Facebook só perde para o Google ficando acima do Youtube em acessos diários.
Na semana passada um tweet da @FSLabsAdvisor divulgou um Directory do Facebook contendo a lista de todos os seus usuários, ai começa a semana de cão dos caras. Para facilitar a vida um script foi criado para o Nmap facilitando o download da lista contida no diretório.
Para acabar de estragar a semana dos caras resolveram disponibilizar a lista via torrent. Nela você encontrará fotos, informações pessoais, URL, amigos exceto se o usuário habilitou o item de privacidade então somente aparecerão seu nome e foto.
Acredito que neste momento você deve estar clicando para sair deste post. Eu não recomendo porque o melhor vem agora….
Ron Bowes autor do blog Skull Security criou um web crawler em Ruby que baixa a lista completa apresentando resultados realmente interessantes. Usando o script ele conseguiu nada menos do que 171 milhões de contas gerando uma lista das contas top do site.
Junto com o esse vacilo foi divulgado pela Acunetix um artigo técnico e o video abaixo apresentando um ataque de XSS no site do Facebook.
As vulnerabilidades encontradas não são novas em sites de redes sociais, recentemente a mesma falha de XSS permitiu que milhares de usuários do Orkut caissem no conto das Moedas Verde gratuitas para o jogo Colheita Feliz.
Um javascript era executado permitindo que o atacante enviasse scraps usando seu perfil, alterando todas sua informações além de fazer um cache poisoning redirecionando a tela do login para um site fake para sequestrar ( hijacking ) seu perfil.
Facebook, Twitter, Noosfero entre outros sites de redes sociais sempre serão vitimas destes e de outros tipos de ataques pois nele estão contidos muitas informações sobre seus usuários.
Para os usuários destas redes fica a dica para evitar cadastrar informações importantes, fotos pessoais e sempre utilizar ferramentas que alertam possiveis falhas como as apresentadas acima.
Fontes: