Facebook confirma que sua rede social foi invadida por um brasileiro!
No link abaixo o documento do Facebook confirmando esta noticia:
https://www.facebook.com/BugBounty/posts/778897822124446
O brasileiríssimo engenheiro do ITA Reginaldo José da Silva Filho, 27, da cidade de São José dos Campos (SP), recebeu US$ 33,5 mil (cerca de R$ 80 mil) por ter descoberto e relatado uma falha de segurança no Facebook.
Como o próprio Reginaldo fala no seu perfil do Facebook: "Bom, como muita gente já sabe, é sério, eu invadi o Facebook..."
Reginaldo Silva explica no post no link abaixo que o problema era uma vulnerabilidade de entidades externas XML em https://www.facebook.com/openid/receiver.php que poderia permitir a alguém para ler arquivos arbitrários no servidor web .
Imediatamente, nós implementamos uma correção lançando uma bandeira para provocar nossa biblioteca de análise XML para não permitir a resolução de entidades externas . Essa correção inicial era simples o suficiente para caber em uma linha: libxml_disable_entity_loader (true).
O problema identificado por Reginaldo estaria no código responsável pela integração do Facebook com o OpenID, um padrão de internet que permite que a senha do Google seja usada por exemplo para fazer log-in em outros sites.
Como o OpenID é normatizado, qualquer fornecedor de serviços de internet pode criar seu próprio serviço de OpenID, permitindo que a conta do seu site seja usada em outros endereços compatíveis com OpenID. Dessa maneira, usuários não precisariam se cadastrar em cada site visitado.
Ele acreditava que a falha poderia ser usada em conjunto com outra brecha em uma invasão completa do servidor. Imediatamente Reginaldo entrou em contato com o Facebook com a intenção de continuar seus testes posteriormente. No entanto, a resposta da rede social foi imediata: três horas e meia depois, a falha estava corrigida.
É o maior valor pago pela empresa por meio do programa Bug Bounty, de recompensa a quem denuncia falhas desconhecidas. O erro permitia invadir e controlar o servidor e ver dados privados.
Afinal de contas quem é este caçador de erros de cibersegurança e agora celebridade no mundo da tecnologia?
Nascido em Uberaba – Minas Gerais, Reginaldo formou-se em engenharia da computação no ITA (Instituto Tecnológico de Aeronáutica).
Um problema semelhante havia sido detectado por Silva em setembro de 2012 em que ele já havia ganho recompensas por achados em serviços como os do Google, empresa que lista Silva no "hall da fama" de denúncia de bugs da empresa.
Como relata ele próprio em seu perfil: Entrei na dos top da segurança de informação do Google.https://www.google.com/about/appsecurity/hall-of-fame/ "
Reginaldo diz que o montante recebido é "muitíssimo acima da média" para os programas de recompensa de empresas. "Ninguém, até agora, havia encontrado uma falha tão grave no Facebook".
O Facebook escolhe a média das recomendações de pagamento através de um grupo de administradores do programa . Facebook comenta no documento: "Como sempre, nós projetamos nossos pagamentos para recompensar o trabalho árduo de pesquisadores que já estão inclinados a fazer a coisa certa e reportar bugs"
Na minha opinião o Facebook deveria contratar este geekzinho, eu ia preferir ter esta mente brilhante do meu lado. O valor de 80 mil não é nada diante de inúmeras empresas que tentarão contratar este "menino".
Confira o documento Elaborado de Reginaldo no Link:
http://www.ubercomp.com/posts/2014-01-16_facebook_remote_code_execution
Qual a opinião de vocês sobre o assunto?
Gostou? Compartilhe no Facebook para seus a amigos!
Vera Moraes
www.enterx.com.br