Bryan Seely, pesquisador da Rhino Security que ficou conhecido no início do ano por criar um método no Google Maps que permitia interceptar ligações para o FBI, montou um hack de engenharia social que tira proveito de uma característica do aplicativo: os níveis de conexão. As publicações recebidas pelo usuário são feitas por um “amigo” ou por “amigo de um amigo” e Seely usou essa identificação para criar uma brecha.
— Nós mostramos a David Byttow (cofundador e diretor executivo do Secret) uma foto que ele publicou no Secret. Ele nos perguntou se estávamos submetendo um alerta de bug — disse Seely, ao site Cnet. — Ele estava preocupado que fosse uma chantagem.
Nos ataques de engenharia social, os hackers se aproveitam do comportamento humano e das possibilidades do sistema, em vez de criar códigos maliciosos que dão acesso às máquinas. No caso do Secret, Seely criou um pequeno exército de contas falsas que eram “amigas” apenas entre elas, para que parecessem reais, sendo que cada uma tinha apenas um amigo real, o alvo do ataque. Qualquer publicação que a conta recebesse, seria de autoria do alvo.
No início, Byttow estava cético e demorou a acreditar na história. Contudo, conta Seely, o envio de da imagem tirou qualquer dúvida sobre a veracidade da falha. Byttow, por sua vez, declarou apreço pelo trabalho de pesquisadores independentes.
— Eu adoro que existam pessoas espertas e intrépidas por aí que se preocupam e tentam derrotar sistemas seguros — disse o cofundador do Secret.
Sem dar detalhes, Bytton afirmou que a técnica foi descoberta em maio, mas não explicou o motivo de ela ter ficado tanto tempo sem uma correção. Após o contato de Seely, o aplicativo encontrou uma forma de barra a tática, mas Bytton não explicou como.
— Seely não tinha acesso a nenhuma identificação — disse Byttow. — Ele podia apenas inferir que uma nova postagem estava sendo feita por um único contato.
Fonte: O GLOBO
