Índice
Problema teria permitido roubo de perfis por meio de links, mas descoberta trouxe solução sem deixar usuários em risco.
O estudante mineiro Andres Alonso Bie Perez, de 14 anos, foi surpreendido no último dia 15 de setembro com a notícia de que receberia um prêmio de US$ 25 mil do Facebook como recompensa por descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa.
O Facebook, como muitas outras companhias, possui um programa de “bug bounty” para premiar e recompensar informações sobre vulnerabilidades em seus serviços.
Andres, que ficou sabendo da oportunidade assistindo a vídeos no YouTube, esperava receber no máximo US$ 1 mil pelo que tinha encontrado.
“Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto”, contou Andres ao blog.
O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de “bug bounty” do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. “Naquele momento, eu não estava procurando”, revela.
Quem decide o valor pago pelas falhas relatadas a esses programas de “bug bounty” é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).
“O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso”, disse a rede social ao blog.
Não foi a primeira vez que Andres participou desse tipo de programa, mas até então ele só tinha recebido palavras de agradecimento das empresas envolvidas.
Como foi descoberta a falha
Andres queria criar um aplicativo capaz de replicar certos filtros de imagem do Instagram que só estão disponíveis no computador – o que o obrigou a entender o funcionamento do serviço.
Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.
Por regra, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade.
Pais incentivam: ‘Ele faz o que gosta’
Andres iniciou os estudos em programação por conta própria há três anos. Começou a ter mais contato com computadores em um curso de design gráfico aos 9 anos e hoje conhece linguagens de programação para sites e aplicativos.
Em 2019, o adolescente ganhou medalha de prata na Olimpíada Brasileira de Informática (OBI) organizada pela Universidade Estadual de Campinas (Unicamp) e pela Sociedade Brasileira de Computação (SBC), mas largou o curso de programação após 6 meses porque o conteúdo estava repetindo tópicos que ele já tinha estudado pelos vídeos no YouTube.
A mãe de Andres, Helenice Luzia Perez, explica que a ideia de estudar design gráfico partiu do filho e que ele não tinha a mesma motivação para participar de outros tipos de cursos.
“Ele escolhe o que ele quer fazer. Porque, se eu colocasse por minha parte, ele não gostava, não estudava, falava que era chato. Eu acabei aprendendo com ele que ele tem que fazer o que ele gosta. E faço o possível, até corto despesas, para ele fazer os cursos na área dele, porque eu sei que ele é responsável. Quando ele fala que quer alguma coisa, ele vai levar a sério”, conta a mãe.
Helenice diz que o filho não tinha interesse em estudar inglês quando era menor. Agora, Andres já enxerga os benefícios: o contato com a equipe de segurança do Facebook depende do idioma estrangeiro, que ele estuda há dois anos.
O adolescente diz que pretende continuar experimentando com a criação de aplicativos – para “ver se alguma ideia vai dar certo” –, mas quer aprofundar os conhecimentos em segurança digital para trabalhar na área.
O prêmio do Facebook pode ajudar. Uma fração do dinheiro foi usada para comprar um computador novo, mas Andres também pensa no futuro. “O restante eu vou guardar e investir uma parte”, planeja.