US$15.000

Tacaño premio de Facebook a quien descubrió cómo controlar cualquier cuenta

Anand Prakash, especialista en seguridad informática de 22 años, ha encontrado un grave agujero de seguridad en Facebook que permitía 'hackear' cualquier perfil. Prakash ha detallado su hallazgo en un post cuyo título lo dice todo: "Cómo pude haber hackeado todas las cuentas de Facebook". La compañía ha reconocido el error y le ha premiado con una cantidad que, dada la amenaza, se antoja casi insignificante. Unos tacaños estos tipos.

Anand Prakash, tiene 22 años, vive en India, y Facebook le acaba de premiar con apenas US$ 15.000 por descubrir un grave agujero de seguridad en la página. Tan grave que le permitía 'hackear' cualquier cuenta de los más de 1.000 millones de usuarios de la red social.

Prakash, especialista en seguridad informática, descubrió y documentó el fallo hace 1 mes, pero solo lo ha hecho público ahora después de haber avisado a Facebook y haberle permitido solucionarlo. Mejor definición de 'hacker' ético imposible.

El error apareció en la versión beta de la red social, beta.facebook.com, utilizada por los desarrolladores y el propio equipo de Facebook para probar cambios antes de lanzarlos a la versión final de la página.

Prakash ha detallado su hallazgo en un post cuyo título lo dice todo: "Cómo pude haber hackeado todas las cuentas de Facebook". La compañía ha reconocido el error y le ha premiado con una cantidad que, dada la amenaza, se antoja casi insignificante.

El agujero de seguridad radicaba en el sistema para recuperar la contraseña cuando la hemos olvidado. Facebook envía al móvil o al email del usuario un código de seis dígitos que sirve para acceder temporalmente a la cuenta y cambiar la contraseña.

Sin embargo, sólo permite varios intentos para introducir ese código. Si los fallas todos, la cuenta queda bloqueada. Prakash se dio cuenta de que este límite de intentos, por un fallo temporal en el sistema, no existía en la versión beta de Facebook, así que decidió lanzar un ataque de fuerza bruta (utilizar un algoritmo para probar y probar contraseñas hasta acertar) para 'hackear' cualquier perfil. Y lo consiguió.

Tal y como explica en su post, fue capaz de ver todos los mensajes privados de los usuarios, fotos personales y hasta los números de las tarjetas de crédito y débito almacenados en la sección de pagos. Como todas las cuentas de Facebook están disponibles tanto en la versión normal como en la beta, el fallo que acababa de descubrir implicaba sencillamente que podía 'hackear' cualquier cuenta que se le antojara. La tuya y la mía incluidas. Y para demostrarlo grabó un vídeo de todo el proceso.

Facebook ha confirmado al blog estadounidense Gizmodo que, efectivamente, el agujero de seguridad existió, aunque solo pudo ser explotado durante 72 horas, el tiempo que estuvo la versión beta sin el sistema de verificación de seis dígitos.

"Lo bueno de tener un programa de recompensas para cazar errores es la posibilidad de encontrarlos antes de que lleguen a la versión final de la web. Estamos muy contentos de reconocer y premiar a Anand por su excelente trabajo", ha explicado Melanie Ensign, portavoz del equipo de seguridad de Facebook.

El premio: US$15.000.

Para muchos, demasiado poco: el perjuicio que podría haber sufrido Facebook sin duda hubiese sido millonario.

Enterate de todas las últimas noticias desde donde estés, gratis.

Suscribite para recibir nuestro newsletter.

REGISTRATE

Dejá tu comentario