Tecnología

Facebook paga 15 mil dólares a hacker hindú por reportar grave falla en la red social

Mark Zuckerberg, CEO de FacebookAP

La vulnerabilidad permitía entrar a cualquier cuenta de forma relativamente sencilla.

El hacker hindú Anand Prakash ha recibido una recompensa de 15 mil dólares (unos 268,125 pesos). Esto debido a que descubrió y reportó una falla que pudo ser usada para hackear la red social y entrar a la cuenta de cualquier usuario.

Cuando uno olvida su password de Facebook, es posible reiniciarlo solicitando un código de seis dígitos que es enviado al teléfono asociado a la cuenta. Dicho código debe ser insertado en el sitio pero, si se dan de 10 a 12 intentos infructuosos de escribir los números correctamente, Facebook bloquea el acceso por la sospecha de que pueda ser alguien ajeno a la cuenta quien desee tener acceso a ella.

Sin embargo, esta restricción no estaba activada en la versión beta de Facebook, por lo que cualquiera podría ponerse a adivinar, sin límite de intentos, las combinaciones de 6 dígitos que pudieran darle acceso a la cuenta.

Eso fue lo que descubrió Prakash y, para probar su punto, hackeó su propia cuenta usando un software llamado Burp Suite, con el cual "atacó" el sistema de reinicio de contraseña para que adivinara los seis números enviados por Facebook y así tener acceso a la cuenta deseada (la suya propia, en este caso).

El hacker reportó este fallo el pasado 22 de febrero, y para el día 23 ya estaba corregido.

Aunque este error sólo estaba presente en la versión beta (para desarrolladores) de Facebook, lo cierto es que cualquiera tiene acceso a ella, y aprovechar esta falla con fines maliciosos hubiera sido catastrófico para millones de usuarios.

Con información de TechShout