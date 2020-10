O brasileiro Andres Alonso Bie Perez Arquivo Pessoal

Por iG

Publicado 31/10/2020 08:53 | Atualizado 31/10/2020 09:17

O estudante mineiro Andres Alonso Bie Perez, de apenas 14 anos, recebeu um prêmio de US$ 25 mil (cerca de R$ 130 mil) do Facebook após ajudar a descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa. A informação foi revelada pelo blog do Altieres Rohr.



O Facebook, como muitas outras companhias, possui um programa de "bug bounty" para premiar e recompensar informações sobre vulnerabilidades em seus serviços.



Andres, que ficou sabendo da oportunidade assistindo a vídeos no YouTube, esperava receber no máximo US$ 1 mil pelo que tinha encontrado. "Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto", contou Andres ao blog do Altieres Rohr.



"O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso", disse a rede social ao blog.



A falha foi descoberta porque Andres queria criar um aplicativo para replicar filtros de imagem do Instagram que só estão disponíveis no computador. Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.



De acordo com a regra da empresa, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade.



"Eu estava fazendo um aplicativo que precisa integrar com os filtros do Instagram e precisava saber como ele criava os links dos filtros. Para isso eu tive que estudar o aplicativo e vi que tinha a possibilidade de ser [uma falha]. Eu testei e deu certo", explicou o brasileiro ao blog.



Quem decide o valor pago pelas falhas relatadas a esses programas de "bug bounty" é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).