Hackers invadiram a rede corporativa do Facebook durante vários meses e tiveram acesso a centenas de nomes e senhas de funcionários da rede social. A invasão ocorreu no período de julho a setembro do ano passado e, possivelmente, em fevereiro deste ano. A descoberta foi feita "acidentalmente" por um pesquisador da fabricante taiwanesa de sistemas de segurança Devcore, durante a realização de testes de penetração na rede corporativa da empresa.
Ao todo, foram descobertas sete vulnerabilidades de segurança em ferramentas corporativas do Facebook, incluindo uma no serviço de transferência de arquivos e um script de backdoor instalado em um dos servidores da companhia. De acordo com o pesquisador Orange Tsai, pelo menos um hacker — possivelmente dois — tinha invadido o servidor e estava operando dentro de sua rede corporativa do Facebook.
"Durante a coleta detalhes de vulnerabilidades e evidências para reportar ao Facebook encontrei algumas coisas estranhas no registro web. O hacker criou uma proxy na página para registrar as credenciais dos funcionários do Facebook. Essas senhas registradas foram armazenados sob o diretório web para o hacker usar [coletar dados] de vez em quando", explicou Tsai, em entrevista a agências de notícias internacionais.
De acordo com ele, as credenciais dos funcionários do Facebook registradas podem ter dado acesso aos hackers a contas de e-mail, à rede virtual privada da companhia e a outras ferramentas da empresa. Mas, apesar de os dados dos usuários da rede social sejam armazenados separadamente e não trafeguem pela rede corporativa, Tsai não descarta que a coleta das senhas das credenciais possa ter possibilitado aos hackers o acesso aos dados de usuários.
"Na época descobri que havia cerca de 300 credenciais registradas, datadas entre 1º de julho de 2015 a 1º de fevereiro deste ano, cujos endereçõs em sua maioria eram '@ fb.com' e '@ facebook.com. Ao descobrir isso percebi que era um incidente de segurança muito sério", disse Tsai.
O teste de penetração consiste em uma série de tentativas por parte de pesquisadores de segurança para encontrar e relatar brechas em um site ou no serviço de segurança cibernética. Tsai realizou os testes de olho no programa de recompensa de bug do Facebook, que paga à pessoa que encontrar e informar sobre vulnerabilidades em seus sistemas. Ele alertou a empresa no dia 5 de fevereiro, quando ela passou a realizar uma investigação interna, que foi concluída no dia 20 deste mês. O Facebook permitiu que a Devcore publicasse detalhes do hacking.
O Facebook não quis comentar sobre a invasão nem sobre a recompensa, mas rumores no mercado dissem que Tsai recebeu US$ 10 mil pela descoberta da vulnerabilidade.