Anand Prakash es un hacker de 22 a√Īos que vive en una peque√Īa ciudad de la India a 250 kil√≥metros de Nueva Delhi. Tambi√©n es un cazador de recompensas que se dedica a encontrar fallos de seguridad en el software de grandes compa√Ī√≠as. Hoy, Anand es conocido como el chico que pudo acceder a cualquier cuenta de Facebook.

Durante 72 horas, la seguridad de todos los usuarios de Facebook qued√≥ expuesta en la versi√≥n beta de la red social, accesible a trav√©s de beta.facebook.com. Una grave vulnerabilidad permit√≠a explotar el algoritmo de ‚Äú¬ŅHas olvidado tu contrase√Īa?‚ÄĚ con un ataque de fuerza bruta. Cuando reseteas tu contrase√Īa, Facebook te env√≠a un c√≥digo de seis d√≠gitos para confirmar que seas t√ļ. Normalmente hay un l√≠mite de intentos que impide realizar ataques de fuerza bruta, pero esta vez permit√≠a fallar infinitas veces.

Una vez que daba con el código correcto, Anand Prakash podía acceder a la cuenta de cualquier usuario y ver sus mensajes, sus fotos y cualquier otra información personal que tuviera almacenada en su perfil (incluso tarjetas de crédito). Lo demostró con este screencast de todo el proceso:

Como buen hacker de sombrero blanco, Anand alert√≥ a Facebook de la vulnerabilidad. Contact√≥ con la compa√Ī√≠a el 22 de febrero y fue recompensado con 15.000 d√≥lares el 2 de marzo. Suena a poco para un fallo tan desastroso, pero Facebook asegura que el sistema estuvo expuesto durante no m√°s de 72 horas y que el error apareci√≥ mientras realizaban cambios en sus sistemas de back end.

Advertisement

‚ÄúUno de los beneficios m√°s valiosos de los programas de recompensas de errores es la posibilidad de encontrar problemas incluso antes de que lleguen a la producci√≥n‚ÄĚ explica la compa√Ī√≠a. [Anand Prakash]

***

Psst! también puedes seguirnos en Twitter y Facebook :)