{"version":"1.0","provider_name":"Sobre a Meta","provider_url":"https:\/\/about.fb.com\/br","author_name":"Meta","author_url":"https:\/\/about.fb.com\/br","title":"Atualiza\u00e7\u00e3o sobre seguran\u00e7a | Sobre a Meta","type":"rich","width":600,"height":338,"html":"<blockquote class=\"wp-embedded-content\" data-secret=\"UTLtLclNVF\"><a href=\"https:\/\/about.fb.com\/br\/news\/2018\/09\/atualizacao-sobre-seguranca\/\">Atualiza\u00e7\u00e3o sobre seguran\u00e7a<\/a><\/blockquote><iframe sandbox=\"allow-scripts\" security=\"restricted\" src=\"https:\/\/about.fb.com\/br\/news\/2018\/09\/atualizacao-sobre-seguranca\/embed\/#?secret=UTLtLclNVF\" width=\"600\" height=\"338\" title=\"&#8220;Atualiza\u00e7\u00e3o sobre seguran\u00e7a&#8221; &#8212; Sobre a Meta\" data-secret=\"UTLtLclNVF\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\" class=\"wp-embedded-content\"><\/iframe><script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n\/*! This file is auto-generated *\/\n!function(d,l){\"use strict\";l.querySelector&&d.addEventListener&&\"undefined\"!=typeof URL&&(d.wp=d.wp||{},d.wp.receiveEmbedMessage||(d.wp.receiveEmbedMessage=function(e){var t=e.data;if((t||t.secret||t.message||t.value)&&!\/[^a-zA-Z0-9]\/.test(t.secret)){for(var s,r,n,a=l.querySelectorAll('iframe[data-secret=\"'+t.secret+'\"]'),o=l.querySelectorAll('blockquote[data-secret=\"'+t.secret+'\"]'),c=new RegExp(\"^https?:$\",\"i\"),i=0;i<o.length;i++)o[i].style.display=\"none\";for(i=0;i<a.length;i++)s=a[i],e.source===s.contentWindow&&(s.removeAttribute(\"style\"),\"height\"===t.message?(1e3<(r=parseInt(t.value,10))?r=1e3:~~r<200&&(r=200),s.height=r):\"link\"===t.message&&(r=new URL(s.getAttribute(\"src\")),n=new URL(t.value),c.test(n.protocol))&&n.host===r.host&&l.activeElement===s&&(d.top.location.href=t.value))}},d.addEventListener(\"message\",d.wp.receiveEmbedMessage,!1),l.addEventListener(\"DOMContentLoaded\",function(){for(var e,t,s=l.querySelectorAll(\"iframe.wp-embedded-content\"),r=0;r<s.length;r++)(t=(e=s[r]).getAttribute(\"data-secret\"))||(t=Math.random().toString(36).substring(2,12),e.src+=\"#?secret=\"+t,e.setAttribute(\"data-secret\",t)),e.contentWindow.postMessage({message:\"ready\",secret:t},\"*\")},!1)))}(window,document);\n\/\/# sourceURL=https:\/\/about.fb.com\/br\/wp-includes\/js\/wp-embed.min.js\n\/* ]]> *\/\n<\/script>\n","description":"Originalmente publicado em 28 de setembro de 2018 Atualiza\u00e7\u00e3o sobre seguran\u00e7a Por\u00a0Guy Rosen,\u00a0vice-presidente de Gerenciamento de Produto Na tarde de ter\u00e7a-feira, 25 de setembro, nosso time de engenharia descobriu um incidente de seguran\u00e7a que afetou quase 50 milh\u00f5es de contas. N\u00f3s estamos levando isso muito a s\u00e9rio e queremos avisar a todos sobre as a\u00e7\u00f5es imediatas que estamos tomando para proteger a seguran\u00e7a das pessoas. Ainda estamos no in\u00edcio da nossa investiga\u00e7\u00e3o. Mas est\u00e1 claro que os invasores exploraram uma vulnerabilidade no c\u00f3digo do Facebook que impactou a funcionalidade &#8220;Ver Como&#8220;, que permite \u00e0s pessoas verem como seus perfis aparecem para outras pessoas. Isso permitiu que eles roubassem tokens de acesso ao Facebook, os quais usaram para entrar nas contas das pessoas. Tokens de acesso s\u00e3o como chaves digitais que mant\u00eam as pessoas logadas no Facebook para que n\u00e3o precisem digitar novamente sua senha toda vez que acessam o app. A seguir, explicamos as a\u00e7\u00f5es que j\u00e1 tomamos. N\u00f3s j\u00e1 corrigimos a vulnerabilidade e estamos informando as autoridades sobre o ocorrido. N\u00f3s tamb\u00e9m invalidamos os tokens de quase 50 milh\u00f5es de contas que sabemos que foram afetadas, para torn\u00e1-las seguras novamente. Por precau\u00e7\u00e3o, n\u00f3s tamb\u00e9m invalidamos acesso a tokens de outras 40 milh\u00f5es de contas que usaram a funcionalidade &#8220;Ver Como&#8221; no \u00faltimo ano. Como resultado, cerca de 90 milh\u00f5es de pessoas no mundo precisam se logar de volta ao Facebook, ou a qualquer outro app que usando o Facebook Login. Ap\u00f3s se logarem de volta, as pessoas receber\u00e3o uma notifica\u00e7\u00e3o no topo do seu Feed de Not\u00edcias explicando o que aconteceu. Al\u00e9m disso, n\u00f3s estamos temporariamente desativando a funcionalidade &#8220;Ver Como&#8221; enquanto conduzimos uma an\u00e1lise de seguran\u00e7a completa da funcionalidade. (Atualiza\u00e7\u00e3o em 14 de maio de 2019 \u00e0s 13:00: Conclu\u00edmos nossa an\u00e1lise de seguran\u00e7a e estamos reativando a vers\u00e3o do recurso &#8220;Ver como&#8221;, que permite \u00e0s pessoas saber como seus perfis aparecem para outras pessoas que n\u00e3o s\u00e3o suas amigas no Facebook. Esta vers\u00e3o da ferramenta n\u00e3o foi afetada pelo incidente de seguran\u00e7a e era significativamente mais popular do que a vers\u00e3o \u201cVer como uma pessoa espec\u00edfica&#8221;) Este ataque explorou uma intera\u00e7\u00e3o complexa envolvendo uma s\u00e9rie de ocorr\u00eancias em nossos c\u00f3digos. Ele nasceu de uma mudan\u00e7a de c\u00f3digo que fizemos na nossa ferramenta de upload de v\u00eddeo em julho de 2017, que impactou a funcionalidade &#8220;Ver Como&#8221;. Os invasores n\u00e3o precisaram apenas encontrar essa vulnerabilidade e us\u00e1-la para ganhar acesso a um token, mas tamb\u00e9m tiveram que ir desta conta a outras para roubar mais tokens. Como estamos apenas come\u00e7ando a nossa investiga\u00e7\u00e3o, ainda temos que determinar se essas contas foram mal utilizadas ou se alguma informa\u00e7\u00e3o foi acessada. N\u00f3s tamb\u00e9m n\u00e3o sabemos quem est\u00e1 por tr\u00e1s desses ataques ou onde os invasores est\u00e3o localizados. Estamos trabalhando muito para entender melhor esses detalhes &#8211; e iremos atualizar este post quando tivermos mais informa\u00e7\u00f5es, ou caso os fatos mudem. Al\u00e9m disso, caso encontremos mais contas afetadas, iremos imediatamente invalidar os seus tokens de acesso. A privacidade e a seguran\u00e7a das pessoas s\u00e3o extremamente importantes, e sentimos muito pelo ocorrido. \u00c9 por isso que n\u00f3s agimos imediatamente para garantir a seguran\u00e7a destas contas e informar os usu\u00e1rios sobre o que aconteceu. N\u00e3o \u00e9 necess\u00e1rio que ningu\u00e9m mude sua senha. Mas as pessoas que tiverem dificuldade para se logar de volta no Facebook &#8211; caso tenham esquecido suas senhas, por exemplo &#8211; devem visitar a nossa Central de Ajuda. E para quem quiser deslogar do Facebook por precau\u00e7\u00e3o, basta visitar a \u00e1rea de &#8220;Seguran\u00e7a e Login&#8221; dentro das suas Configura\u00e7\u00f5es. Essa \u00e1rea lista todos os dispositivos em que as pessoas est\u00e3o logadas no Facebook, e oferece a op\u00e7\u00e3o de deslogar de todos eles simultaneamente com um clique. Atualizado em 28 de setembro de 2018 Detalhes T\u00e9cnicos Adicionais Por Pedro Canahuati, VP de Engenharia, Seguran\u00e7a e Privacidade Aqui est\u00e3o alguns detalhes t\u00e9cnicos adicionais sobre o problema de seguran\u00e7a descrito acima. No in\u00edcio da \u00faltima semana de setembro, descobrimos que um ator externo atacou nossos sistemas e explorou uma vulnerabilidade que exp\u00f4s tokens de acesso a contas de Facebook em HTML quando est\u00e1vamos processando um componente espec\u00edfico do recurso &#8220;Ver como&#8221;. A vulnerabilidade foi o resultado da intera\u00e7\u00e3o de tr\u00eas bugs distintos: Primeiro: &#8220;Ver como&#8221; \u00e9 um recurso de privacidade que permite que as pessoas vejam como o seu pr\u00f3prio perfil aparece para outras pessoas. &#8220;Ver como&#8221; deve ser uma interface apenas de visualiza\u00e7\u00e3o. No entanto, para um tipo de gerador de conte\u00fado (a caixa que permite postar no Facebook) &#8211; especificamente a vers\u00e3o que possibilita que as pessoas desejem feliz anivers\u00e1rio aos seus amigos &#8211; o &#8220;Ver como&#8221; forneceu incorretamente a oportunidade de postar um v\u00eddeo. Segundo: Uma nova vers\u00e3o do nosso carregador de v\u00eddeos (a interface que seria apresentada como resultado do primeiro bug), apresentada em julho de 2017, gerou incorretamente um token de acesso que tinha as permiss\u00f5es do aplicativo m\u00f3vel do Facebook. Terceiro: Quando o carregador de v\u00eddeos aparecia como parte do &#8220;Ver como&#8221;, ele gerava o token de acesso n\u00e3o para o pr\u00f3prio dono do Perfil, mas para o usu\u00e1rio que voc\u00ea estava pesquisando. Foi a combina\u00e7\u00e3o desses tr\u00eas bugs que gerou uma vulnerabilidade: ao usar o recurso &#8220;Ver como&#8221; para visualizar seu Perfil como se fosse um amigo, o c\u00f3digo n\u00e3o removeu o gerador de cont\u00e9udo que permite que as pessoas lhe desejem feliz anivers\u00e1rio; o carregador de v\u00eddeos gerava um token de acesso quando n\u00e3o deveria; e quando o token de acesso foi gerado, n\u00e3o era para voc\u00ea, mas para a pessoa que estava sendo consultada. Esse token de acesso ent\u00e3o ficava dispon\u00edvel no HTML da P\u00e1gina, e os invasores conseguiam extrair e explorar para fazer login como outro usu\u00e1rio. Os invasores puderam ent\u00e3o migrar desse token de acesso para outras contas, executando as mesmas a\u00e7\u00f5es e obtendo mais tokens de acesso. Para proteger as contas das pessoas, n\u00f3s corrigimos a vulnerabilidade. Tamb\u00e9m redefinimos os tokens de acesso das quase 50 milh\u00f5es de contas que sabemos que foram afetadas e tamb\u00e9m tomamos a precau\u00e7\u00e3o de redefinir tokens de acesso para outras 40 milh\u00f5es de contas que utilizaram o recurso &#8220;Ver como&#8221; no \u00faltimo ano. Por fim, desativamos temporariamente o recurso &#8220;Ver como&#8221;, enquanto realizamos uma an\u00e1lise de seguran\u00e7a completa da ferramenta.","thumbnail_url":"https:\/\/about.fb.com\/br\/wp-content\/uploads\/sites\/3\/2018\/09\/security1-1.png"}