Vazamento na META (WhatsApp e Instagram) expôs logins, documentos secretos e infraestrutura
29 de Novembro de 2023

Uma vulnerabilidade em um fornecedor direto da META expôs os dados de todos os funcionários do conglomerado de tecnologia americano.

As informações expostas incluem nome completo, cargo, email e endereço de trabalho.

A falha não afetou apenas a META no Brasil, mas em todo o mundo.

A empresa é responsável por serviços como Facebook, Instagram e WhatsApp.

De acordo com o pesquisador de segurança Marlon Fabiano (Astrounder), a falha também afetou os dados de altos executivos da META, incluindo o CEO Mark Zuckerberg.

Em sua pesquisa, foram encontrados especificamente 83 mil dados.

Além de informações pessoais, a vulnerabilidade encontrada no fornecedor também revelou documentos confidenciais, como detalhes de treinamento, oportunidades de mercado, infraestrutura da empresa, ferramentas utilizadas entre outros.

A META foi alertada sobre a vulnerabilidade e corrigiu o problema.

O fornecedor não foi revelado a pedido da empresa.

Em conversa com o TecMundo, Astrounder explicou que a vulnerabilidade é conhecida como "ataque de supply chain".

O acesso à aplicação foi possível por meio de uma técnica conhecida como "password spray".

Surpreendentemente, o fornecedor da META não utilizava segundo fator de autenticação nas contas.

Além disso, já dentro da aplicação, era possível alterar o ID do usuário logado na URL e obter informações de outros funcionários da META através das configurações.

Astrounder revelou que chegou a fazer o download de dados de 83 mil funcionários para apresentar à META como prova de impacto.

Após ser notificada, a empresa pediu que o pesquisador encerrasse seu trabalho e disse que o impacto já havia sido comprovado.

Termos utilizados e processos serão explicados abaixo.

Em termos simples, ataques de supply chain, ou ataques de cadeia de fornecimento, visam fornecedores de grandes empresas.

Isso significa que, por mais que uma grande empresa tenha um alto padrão de cibersegurança, um fornecedor terceiro talvez não tenha, e isso cria uma brecha para informações sensíveis e dados pessoais.

Astrounder comentou sobre o uso da técnica, dizendo que "as empresas lembram de gastar muitos recursos em tecnologia, e recentemente em conscientização dos seus funcionários, mas algo ainda tem estado fora do radar: o risco que a terceirização de trabalho traz à organização.

Com isso temos uma vulnerabilidade que pode causar impactos variados chamada supply chain attack.

Com ela, temos dois tipos principais de ataques: software e hardware, além de fornecedores de serviço.

A ideia do ataque é ir pelo caminho de menor resistência até o alvo desse ataque".

O fluxo de ataque segue como representado na imagem abaixo:

O pesquisador explica que, usando esse tipo de ataque, foi possível identificar um dos terceiros do Facebook e causar um impacto em uma aplicação dentro do escopo do programa de Bug Bounty da empresa.

Bug Bounty é um tipo de apoio que as companhias fornecem para que pesquisadores de segurança relatem falhas em seus serviços de maneira segura.

“Ao enumerar os subdomínios do fornecedor, foi possível identificar uma aplicação que exibia uma tela de login (e-mail) e senha de funcionários da META.

Existem várias ferramentas e aplicações que podem ajudar na tarefa de enumeração e descoberta dos logins.

O Linkedin é uma aplicação muito útil nesses casos, pois emails podem ser criados com padrões de nome e sobrenome ou sobrenome, seguido do nome e do domínio da organização.

Por exemplo: 'primeiro nome' + '.' + 'sobrenome'@domíniodaORG.com.

E apenas com dados públicos é possível obter uma lista de emails válidos utilizando fontes públicas", adicionou Astrounder.

Após esse processo, o pesquisador comentou que ainda faltava o ponto mais importante: a senha.

"É possível utilizar padrões para senhas como 'Empresa@ano' ou uma variação disso.

Para isso existem ferramentas muito úteis como https://github[.]com/sunw4r/weakpass, um gerador de senhas que, na maioria das vezes, condiz com o padrão de senha utilizado por terceiros.

Agora, com o usuário e possíveis senhas, o ataque pode prosseguir via força bruta ou password spray attack”.

Ao usar um fornecedor que não tem a cibersegurança como prioridade, todo o trabalho da META nesse sentido é comprometido.

O que é password spray attack? Também conhecido como ataque ou varredura de pulverização de senhas, é uma técnica automatizada usada para obter credenciais de acesso válidas.

A técnica consiste em tentar uma mesma senha comum em diferentes contas de usuário e, em seguida, tentar outra senha.

Vale ressaltar que as credenciais dos funcionários da META do fornecedor não tinham segundo fator de autenticação habilitado (MFA/2FA).

"E isso facilitou muito o ataque", acrescentou o pesquisador.

A triagem do programa não havia aceitado o bug por falta de impacto.

“Então, alterando o ID na URL diretamente na aplicação, fiz o dump de dados dos funcionários até identificar o email do agente que estava realizando a triagem no relatório.

Ao enviar a PoC (evidência documentada) de que era possível obter os dados de quem eu quisesse (incluindo do agente da triagem), foi solicitado que a exploração fosse interrompida, pois o impacto já estava comprovado".

O caso revela várias fragilidades de segurança que envolvem pequenas empresas, conglomerados gigantescos e até nossa segurança pessoal.

Ao usar um fornecedor que não tem como pilar a cibersegurança, todo o trabalho da META nesse sentido foi enfraquecido.

O fornecedor, por fazer uma enumeração simples de ID de funcionários e não habilitar o segundo fator de autenticação, passará por momentos difíceis ao lidar com esse caso com a META.

Por fim, que este relato sirva como um lembrete para você ativar o segundo fator de autenticação em todas as suas contas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...