O Facebook novamente aparece na mídia em um caso envolvendo a privacidade de seus usuários. A empresa de segurança Imperva divulgou detalhes sobre uma vulnerabilidade na rede social que pode ter deixado dados dos usuários expostos. Através do bug os sites podiam obter informações privadas sobre os usuários do Facebook e os seus amigos através do acesso não autorizado a uma API da empresa, utilizando um comportamento específico no navegador Google Chrome. O bug foi reportado ao Facebook e resolvido em maio.

O ataque em questão é uma falsificação de solicitação entre sites, através de um login legítimo do Facebook de modo não autorizado. Para que o ataque pudesse funcionar, um usuário precisava visitar um site malicioso com o Chrome, e após clicar em qualquer lugar no site enquanto estiver conectado ao Facebook. Somente assim os invasores poderão abrir um novo pop-up ou guia na página de pesquisa do Facebook e poder executar um número de consultas para extrair informações pessoais.

Vulnerabilidade no Facebook pode ter exposto informações de usuários.

A Imperva cita o fato de verificar se um usuário tirou fotos em um determinado local ou país, se o usuário escreveu postagens recentes que tenham um texto específico ou se os amigos de um usuário gostam da página do Facebook de uma determinada empresa. A vulnerabilidade deixava exposto os interesses  de seus usuários e amigos, mesmo se as configurações de privacidades fossem modificadas.

De acordo com o Facebook ao The Verge, a vulnerabilidade subjacente também poderia afetar outros sites. "Nós apreciamos o relatório deste pesquisador para o nosso programa de recompensas bug", disse um representante ao The Verge. "Corrigimos o problema em nossa página de pesquisa e não vimos nenhum abuso. Como o comportamento subjacente não é específico do Facebook, fizemos recomendações para os criadores de navegadores e grupos relevantes de padrões da Web para incentivá-los a tomar medidas para evitar que esse tipo de problema ocorra em outros aplicativos da Web ".

Fonte: The Verge