LEIA MAIS: Cofundador do WhatsApp conta por que rompeu com o Facebook
O objetivo da invasão era roubar o que se conhece como “token do portador OAuth”. Essencialmente, esses tokens provam que o usuário do Facebook é o legítimo proprietário de uma conta no site e indica ao que ele tem acesso. “Os tokens OAuth são como chaves de carro. Se você estiver segurando, pode usá-los, não há qualquer discriminação, basta tê-los na mão.” Nesse ataque de 28 de setembro, as chaves não só abriram contas no Facebook, mas em qualquer outro site que os usuários atingidos acessem com seu login da rede de Mark Zuckerberg, como o Instagram ou um site de notícias.
É aqui que as coisas ficam mais estranhas. Se um usuário, por meio do modo de exibição, emulasse um amigo com quem ele tem um outro em comum, e esse outro estivesse fazendo aniversário, o recurso também mostraria um sugestão da rede para que ele postasse um vídeo de “Parabéns”. Graças a um erro cometido pelo Facebook em julho de 2017, esse vídeo de aniversário se tornou uma fonte de um desses preciosos tokens. O player do vídeo gerava e enviava ao usuário um token que seria registrado no aplicativo móvel do Facebook, como se ele fosse a pessoa cuja visão do perfil era emulada no View As. A partir daí, o usuário (nesse caso, um hacker mal-intencionado) teria acesso total à conta da outra pessoa.
Os invasores não teriam dificuldade de transformar a premissa básica dessa invasão em algo massivo, afetando milhões de contas. “Quanto à escala, explica-se: isso não é algo difícil de automatizar”, acrescentou Shadwell.
O Facebook não disse quantas contas foram hackeadas, onde as vítimas estavam baseadas ou quem estava por trás do ataque. De acordo com Shadwell, é complexo mapear tudo isso. “Seria um feito tecnicamente impressionante .”
Uma catástrofe na internet
O mais preocupante de tudo, no entanto, é o que o ataque provou: que uma empresa com os recursos e o poder do Facebook pode ser roubada e deixar vulneráveis milhões de usuários e contas na internet. Dadas as chaves, o hacker pode assumir qualquer conta usando um login no Facebook. E, dito isso, pode-se supor que número real de afetados é muito superior a 50 milhões. Os rivais do Facebook também devem confiar na segurança online das pessoas? A brecha desta semana sugeriria talvez não.
Em seu annus horribilis, o Facebook sofreu um ataque que não só municia usuários de razões para abandonar o barco, mas também abala de modo irrevogável a relação entre os internautas e as empresas em que confiam para manter suas vidas online privadas.