Meta vaza dados de funcionários 4k4oc

Cerca de 83 mil dados da Meta, dona do Facebook, WhatsApp e Instagram, foram vazados em um ataque de cadeia de suprimentos que teve como alvo uma fornecedora terceirizada não identificada da big tech.

Os dados comprometidos incluem o nome completo, cargo, e-mail e endereço de trabalho dos colaboradores da Meta. Até o momento, é sabido que a invasão também afetou executivos de alto escalão, incluindo Mark Zuckerberg, conforme aponta o TecMundo.

Além disso, também foram afetados documentos confidenciais que envolvem treinamentos, oportunidades de mercado, infraestrutura e ferramentas utilizadas pela empresa.

O furo que permitiu o ataque foi básico: o fornecedor não utilizava segundo fator de autenticação de contas e colocou em risco as informações de todos os funcionários do conglomerado mundialmente.

De acordo com Marlon Fabiano, pesquisador de segurança conhecido como Astrounder, que concedeu uma entrevista ao TecMundo, o o foi viabilizado por meio da técnica de pulverização de senhas, em que o hacker realiza uma série de testes automáticos com base em uma mesma senha de uso comum em diferentes contas. O processo costuma ser repetido diversas vezes com códigos diferentes.

O especialista explica que, por conta disso, foi possível alterar o ID do usuário logado na URL, bem como obter informações de outros colaboradores da Meta através das configurações do perfil.

Tudo isso só foi possível por conta da estrutura de cibersegurança falha da empresa que fornecia serviços à Meta. 

Por conta disso, os criminosos conseguiram impactar uma aplicação dentro do programa de bug bounty da empresa, técnica usada para realizar testes nos sistemas de uma companhia, para identificar eventuais vulnerabilidades.

“As empresas lembram de gastar muitos recursos em tecnologia, e recentemente em conscientização dos seus funcionários, mas algo ainda tem ficado fora do radar: o risco que a terceirização de trabalho traz à organização. Com isso temos uma vulnerabilidade que pode causar impactos variados. Temos dois tipos principais de ataques: software e hardware, além de provedores de serviço. A ideia do ataque é ir pelo caminho de menor resistência até o alvo desse ataque”, esclarece Fabiano.

Conforme revela o pesquisador, os responsáveis pelo ataque enumeraram os subdomínios do fornecedor até chegar em uma tela de dos funcionários da big tech. Nesse cenário, seria possível decifrar os e-mails usados apenas com o o a informações públicas sobre o usuário.

Quanto às senhas, seria necessário usar ferramentas simples como um gerador de senhas do GitHub que se especializa em padrões usados por terceiros, o que teria sido facilitado pela falta de segundo fator de autenticação.

Apesar de a Meta ainda não ter se pronunciado publicamente sobre o incidente, a vulnerabilidade já foi corrigida internamente.

Fundada em 2004 em Menlo Park, na Califórnia, a Meta hoje conta com Facebook, Instagram, Threads e WhatsApp. A empresa teve receita de US$ 32 bilhões no segundo trimestre deste ano.