Brasileiro de 14 anos recebe R$ 130 mil como recompensa após ajudar Facebook a corrigir a falha no Instagram

Notícias web 01/11/2020 Relatar Quero comentar

O estudante mineiro Andres Alonso Bie Perez, de 14 anos, foi surpreendido no último dia 15 de setembro com a notícia de que receberia um prêmio de US$ 25 mil do Facebook como recompensa por descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa.

O Facebook, como muitas outras companhias, possui um programa de “bug bounty” para premiar e recompensar informações sobre vulnerabilidades em seus serviços.

Andres, que ficou sabendo da oportunidade assistindo a vídeos no YouTube, esperava receber no máximo US$ 1 mil pelo que tinha encontrado.

“Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto”, contou Andres ao blog.

O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de “bug bounty” do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. “Naquele momento, eu não estava procurando”, revela.

Quem decide o valor pago pelas falhas relatadas a esses programas de “bug bounty” é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).

A companhia confirmou o pagamento ao brasileiro e agradeceu a colaboração, além de destacar que a brecha não foi explorada em ataques.

“O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso”, disse a rede social ao blog.

Não foi a primeira vez que Andres participou desse tipo de programa, mas até então ele só tinha recebido palavras de agradecimento das empresas envolvidas.

Como foi descoberta a falha

Andres queria criar um aplicativo capaz de replicar certos filtros de imagem do Instagram que só estão disponíveis no computador – o que o obrigou a entender o funcionamento do serviço.

Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.

Por regra, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade.

“Eu estava fazendo um aplicativo que precisa integrar com os filtros do Instagram e precisava saber como ele criava os links dos filtros. Para isso eu tive que estudar o aplicativo e vi que tinha a possibilidade de ser [uma falha]. Eu testei e deu certo”, explica.

Comentário do usuário
X
Relatar
Use um endereço de e-mail real. Se não pudermos entrar em contato com você, não poderemos processar seu relatório.