Azim Poonawala, de 26 anos, é o criador do FBController, um programa que usa cookies para acessar uma conta do Facebook. O indiano, conhecido na internet como Quaker Doomer, liberou a ferramenta em seu blog. Auxiliada por um ataque que consiga capturar os cookies do internauta, a conta pode ser acessada facilmente.

Facebook é um site de rede social norte-americano, tão popular nos Estados Unidos quanto o Orkut no Brasil. Embora seja normal o acesso não-autorizado a qualquer site quando há posse dos cookies de um usuário — a chamada “injeção de cookies” –, o FBController automatiza algumas tarefas adicionais que são necessárias para conseguir isso no Facebook. O roubo dos cookies, no entanto, ainda terá de ser feito de alguma forma.

Os cookies são dados temporários do site acessado, armazenadas no computador do usuário. O FBController é capaz de usá-los para invadir a conta da vítima. Apesar do cookie estar no computador do usuário, ele pode ser obtido por terceiros por meio de Cross-site scripting (XSS), sniffing de redes, ou acessando diretamente proxies abertos onde há referências aos cookies.

O sniffing de redes, ou network sniffing, consiste em usar um software ou hardware específico que capture e decodifique cada pacote transmitido na rede desejada. Pode ser usado mais facilmente em redes sem fio (Wi-Fi). Já o XSS é o uso de código malicioso a partir do site alvo, nesse caso o Facebook. XSS requer a existência de brechas na página para que o malfeitor consiga essa façanha.

Jeremiah Grossman, chefe de tecnologia da WhiteHat Security, empresa provedora de segurança para sites, acredita que o objetivo da ferramenta é o controle de grande quantidade de contas simultaneamente. “A mera existência de uma ferramenta como esta me leva a acreditar que um número enorme de contas do FaceBook foram e continuam a ser comprometidas”, diz Grossman. O criador da ferramenta negou que esse fosse o propósito, e diz não considerar a ferramenta maliciosa.

Já o Facebook diz não estar preocupado com as possibilidades de controle das vítimas que a ferramenta abre. A empresa diz ter condições de facilmente identificar e parar qualquer atividade ilegal.

Escrito por lbrito1

2 comentários

  1. Daniel Guimarães Costa 15/06/2009 às 11:51

    Boa matéria porém achei o título inapropriado.
    A intenção do rapaz indiano em nenhum momento foi de ocasionar o roubo (ou invasão) de contas do facebook.
    Dizer, como no cabeçalho, “Indiano disponibiliza ferramenta para invadir Facebook” seria análogo à dizer “Einstein disponibiliza bomba atômica para destruir o mundo”

    Curtir

    Responder

  2. e para invadir otario nao proteger pau no CU….FDP….

    Curtir

    Responder

Deixe uma resposta para Daniel Guimarães Costa Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.