No mês de outubro de 2024, um feito significativo no mundo da segurança cibernética foi registrado quando o pesquisador Ben Sadeghipour fez uma descoberta alarmante enquanto analisava a plataforma de anúncios do Facebook. Ao investigar os sistemas da empresa, Sadeghipour identificou uma vulnerabilidade de segurança que permitia o controle total do servidor interno da plataforma de anúncios, comprometendo a integridade de dados que milhares de anunciantes confiam para gerenciar suas campanhas publicitárias. Seu trabalho meticuloso não passou despercebido; após reportar o problema à Meta, controladora do Facebook, a empresa recompensou Sadeghipour com um pagamento de bug bounty de $100,000, reconhecendo a gravidade da falha que ele havia descoberto.
Em uma declaração ao TechCrunch, Sadeghipour confidenciou que a correção da vulnerabilidade foi realizada em apenas uma hora após seu relato à Meta. Assim que a empresa recebeu sua notificação, os responsáveis pela segurança se mobilizaram para corrigir a falha, seguindo um protocolo que visa minimizar riscos e proteger a infraestrutura da plataforma. “Minha suposição é que é algo que vocês podem querer corrigir, uma vez que está diretamente dentro da sua infraestrutura”, escreveu Sadeghipour no relatório enviado à Meta. O pesquisador também mencionou que recebeu orientação para “abster-se de realizar mais testes” enquanto a vulnerabilidade estava sendo tratada.
A falha era originada de um dos servidores utilizados pelo Facebook para criar e entregar anúncios. Sadeghipour esclareceu que a vulnerabilidade estava ligada a um erro anteriormente corrigido no navegador Chrome, amplamente utilizado nos sistemas de anúncios da companhia. Com a utilização de um navegador Chrome headless — um tipo de versão do navegador acessada pelo terminal do computador sem interface gráfica —, Sadeghipour foi capaz de interagir diretamente com os servidores internos do Facebook, o que pode ter consequências devastadoras se mal explorado.
Trabalhando junto com o pesquisador independente Alex Chapman, Sadeghipour realçou que plataformas de anúncios online representam alvos atrativos para pesquisadores de segurança por diversas razões. “Há muita coisa acontecendo nos bastidores na criação desses ‘anúncios’ — sejam vídeos, textos ou imagens”, afirmou. Ele destacou que no núcleo de sua operação, tudo se resume a um conjunto imenso de dados processados no lado do servidor, o que cria oportunidades para uma série de vulnerabilidades surgirem.
“O que torna isso perigoso é que, provavelmente, isso fazia parte de uma infraestrutura interna”, observou Sadeghipour. “Como temos a execução de código, poderíamos interagir com qualquer um dos sites dentro daquela infraestrutura.” A gravidade da situação é acentuada pelo fato de que uma vulnerabilidade de execução remota de código (RCE) pode possibilitar contornar diversas limitações e extrair informações de outros servidores conectados ao principal.
A porta-voz da Meta, Nicole Catalano, confirmou o recebimento do pedido de comentário do TechCrunch, mas não havia fornecido uma declaração até o fechamento da reportagem. O que também não passou despercebido foi a revelação feita por Sadeghipour de que plataformas de anúncios de outras empresas enfrentam vulnerabilidades similares, sugerindo que esta não é uma questão isolada, mas sim um desafio recorrente na segurança cibernética que precisa ser abordado de forma mais rigorosa.
Ao concluir sua análise, Sadeghipour não pode deixar de enfatizar que a segurança cibernética é uma responsabilidade compartilhada entre as empresas e seus colaboradores. É essencial que a indústria adote práticas mais rigorosas e envolventes, assegurando que todos os elementos do sistema, desde o código até a infraestrutura, sejam constantemente revisados e atualizados para evitar essas brechas que podem ser exploradas por indivíduos mal-intencionados. A vulnerabilidade descoberta pelo pesquisador é um lembrete claro de que, na era digital, a vigilância constante e a colaboração são fundamentais para a proteção dos dados e da infraestrutura de sistemas que sustentam o dia a dia de bilhões de pessoas.
