O que aprendemos com a falta de segurança do Facebook
[ad#texto]
Invadir a conta de um único usuário do Facebook é apenas como receber uma agulhada, levando em consideração os milhões de usuários do sistema, mas foi uma agulhada no coração, levando em consideração que o único usuário invadido foi o perfil do dono do Facebook. Mas o que aprendemos com isso?
Na Internet a democratização e o nivelamento entre os usuários são notórios, afinal não importa se você é um usuário rico que acessa a Internet de uma conexão de 15 Mbps de seu Macbook de R$ 5.000,00 ou se você é um usuário pobre que acessa a Internet de um computador velho de uma lan house de segunda linha, ambos terão na grande rede, em teoria, a mesma relevância. O que os diferencia não é o seu status social ou poder financeiro, e sim o seu grau de conhecimento.
Muito provavelmente o usuário que invadiu o Facebook é um usuário alguns milhões de dólares mais pobre, porém com um grau de conhecimento superior ao que o sistema foi preparado para suportar (e isso acontece diariamente em qualquer sistema).
Quase que imediatamente o Facebook anunciou e na sequencia começou a liberar paulatinamente o acesso ao Facebook via HTTPS, o que significa que os seus dados trafegarão de forma criptografada, mas isso de pouco adiantará se a falha de segurança for do software, geralmente no processo de autenticação do usuário.
Quer um exemplo?
Antigamente era muito comum que digitando ‘1=1’ tanto no nome do usuário como na senha você provocaria uma SQL Injection e conseguiria acesso com um usuário aleatório qualquer, e mesmo que a conexão fosse HTTPS o método de invasão descrito continuaria a funcionar, pois a falha é no software de autenticação e não na proteção da conexão e tráfego de dados.
Creio que não houve tempo hábil suficiente para a equipe responsável analisar friamente a situação e poder constatar a real origem da invasão e a medida enérgica que o Facebook tomou foi mais uma atitude de marketing do que uma medida realmente eficaz.
É bom que realmente outra invasão como aquela não aconteça, pois se ocorrer novamente à coisa ficará feia para a equipe de desenvolvimento do Facebook e além do descrédito creio que alguns profissionais estarão disponíveis para o mercado.