Ao usar um fornecedor que não tem como pilar a cibersegurança, todo o trabalho da META nesse sentido foi fragilizado.

Uma vulnerabilidade em fornecedor direto da META expôs os dados de todos os funcionários do conglomerado norte-americano de tecnologia. Entre as informações, estão nome completo, cargo, email e endereço de trabalho.

A falha não afeta apenas a META no Brasil, mas em todo o mundo. A companhia é responsável por serviços como Facebook, Instagram e WhatsApp.

De acordo com o pesquisador de segurança Marlon Fabiano (Astrounder), a falha também afetou dados de executivos de alto escalão da META, incluindo o CEO Mark Zuckerberg. Em sua pesquisa, foram encontrados especificamente 83 mil dados.

Não apenas informações pessoais, a vulnerabilidade encontrada no fornecedor também revelou documentos confidenciais que envolvem treinamentos, oportunidades de mercado, infraestrutura da empresa, ferramentas utilizadas e outros detalhes.
A META foi alertada sobre a vulnerabilidade e corrigiu o problema. O fornecedor não foi revelado, a pedido da empresa

Astrounder comentou que a vulnerabilidade é conhecida como “ataque de supply chain”. O acesso à aplicação foi possível através de uma técnica conhecida como “password spray”.

Surpreendentemente, o fornecedor da META não utilizava segundo fator de autenticação nas contas. Além disso, já dentro da aplicação, era possível alterar o ID do usuário logado na URL e obter informações de outros funcionários da META via configurações.

Astrounder comentou que chegou a realizar o download de dados de 83 mil funcionários para levar à META como prova de impacto. Após o aviso, a empresa solicitou que o pesquisador encerrasse seu trabalho e disse que o impacto já havia sido comprovado.

Abaixo, serão explicados os termos utilizados e os processos. O TecMundo entrou em contato com a META para um posicionamento sobre o caso – que será adicionado quando recebermos.

Ataques de supply chain, ou ataques de cadeia de suprimento, envolvem como alvo fornecedoras de grandes empresas. Isso significa que, por mais que uma grande companhia tenha primazia por cibersegurança, uma empresa terceira fornecedora talvez não tenha: e isso abre um buraco para informações sensíveis e dados pessoais.

Com isso temos uma vulnerabilidade que pode causar impactos variados chamada supply chain attack. Com ela, temos dois tipos principais de ataques: software e hardware, além de provedores de serviço. A ideia do ataque é ir pelo caminho de menor resistência até o alvo desse ataque”.