Socialite.activate (elemento, 'Widget');

domingo, 1 de novembro de 2020

Estudante de 14 anos ganha R$ 130 mil de recompensa após ajudar Facebook a corrigir a falha no Instagram

Praticamente "sem querer", o estudante mineiro Andres Alonso Bie Perez, de 14 anos, descobriu algo que lhe rendeu a bagatela de 25 mil dólares, o que equivale a R$ 130 mil. 

O jovem foi surpreendido no último dia 15 de setembro com a notícia de que receberia um prêmio do Facebook como recompensa por descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa.

A descoberta aconteceu enquanto criava um aplicativo de celular. "Naquele momento, eu não estava procurando", revelou ao blog do  Altieres Rohr, do G1. Isso porque Andres já pretendia dedicar um tempo para procurar falhas e participar do programa de "bug bounty" do Facebook, que premia com recompensas informações sobre vulnerabilidades em seus serviços.

No entanto, ele esperava  receber no máximo US$ 1 mil pelo que tinha encontrado, já que o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil). "Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto", contou Andres ao blog. Quem decide o valor pago pelas falhas relatadas a esses programas de "bug bounty" é sempre a empresa.

Em contato com o blog, o Facebook confirmou o pagamento ao brasileiro e agradeceu a colaboração, além de destacar que a brecha não foi explorada em ataques. "O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso", disse a rede social.

Como foi descoberta a falha: Andres queria criar um aplicativo capaz de replicar certos filtros de imagem do Instagram que só estão disponíveis no computador – o que o obrigou a entender o funcionamento do serviço.

Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.

Por regra, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade.

Blog: O Povo com a Notícia