Este error de Facebook te habría hecho perder tu cuenta

Un investigador descubre un error de seguridad en Facebook con el que poder cambiar la contraseña de cualquier cuenta

Facebook, como la red social más utilizada actualmente, es uno de los grandes objetivos de hackers y usuarios que quieren saber cómo acceder a cuentas de otras personas, o robar información. Al menos, así lo demuestran los resultados de búsqueda de Google que indican que "hackear facebook" es una de las expresiones más buscadas.

La red social de Mark Zuckerberg es consciente de ello, motivo por el que ofrecen recompensas a quienes informen de errores que puedan comprometer la seguridad de sus usuarios. Gracias a esto, también hay gente que se dedica a buscar fallos en la misma, no con el objetivo de causar daño, sino esperando recibir una recompensa a cambio.

Es el caso de Anand Prakash, un investigador o hacker ético, que encontró un grave fallo de seguridad en Facebook que podría haber provocado el robo de tu cuenta. Este fallo residía en la funcionalidad "Recupera tu cuenta" de la página web beta de Facebook.

Por lo general la red social, cuando un usuario olvida su contraseña, envía un código de 6 dígitos al teléfono móvil o la cuenta de correo electrónico registrada. Tras introducir el código recibido, el usuario puede asignar una nueva contraseña para su cuenta y volver a utilizarla sin ningún problema.

Fallo en Facebook permite escribir en cualquier muro

Aquí podríamos pensar qué pasaría si alguien intentase acertar ese código de 6 dígitos, introduciendo miles de combinaciones aleatorias. Por suerte, Facebook tiene un límite de 12 intentos en su página web oficial, para evitar este tipo de prácticas.

Lo que nadie parecía haber detectado hasta ahora, es que la página web de Facebook Beta no tenía esa limitación (beta.facebook.com y mbasic.beta.facebook.com), por lo que una persona podía intentar robar una cuenta introduciendo miles de combinaciones hasta dar con la correcta. Esto, es lo que Anand Prakash descubrió y no dudó en informar al equipo de seguridad de ello.

Obviamente para hacerlo no introdujo las combinaciones de forma manual, ya que utilizó un programa llamado "Burp Suite" cuya función es la de ayudar a detectar problemas de seguridad en páginas webs, tal y como nos muestra en su vídeo.

El equipo de seguridad de Facebook inmediatamente reconoció la gravedad del fallo de seguridad, y en un solo día el problema fue solucionado. Para agradecer a Anand Prakash que detectara e informase del error la compañía le recompensó con 15.000 dólares, una de las recompensas más altas que ofrecen.

[Fuente: techworm.net]