Facebook ha pagado 20.000$ por un error grave que podría haber permitido a un atacante secuestrar la cuenta de cualquier persona fácilmente, sin necesidad de interacción por parte de la víctima.
Jack Whitten, el ingeniero de seguridad (de día) e investigador de seguridad (de noche) que descubrió el fallo, dijo que el 23 de mayo informó del agujero a Facebook y que éste estaba solucionado el 28 de mayo.
El exploit se basa en las actualizaciones de los teléfonos móviles vía SMS.
Facebook ofrece a los usuarios la opción de vincular sus números de teléfono móvil a sus cuentas, pudiendo recibir actualizaciones a través de SMS y también conectarse usando su número de teléfono en lugar de su correo electrónico.
Whitten descubrió que al enviar la letra F por SMS a Facebook – que es 32 665 en el Reino Unido – Facebook devolvía un código de verificación de 8 caracteres.
Después de enviar el código a la casilla de activación y jugueteando con el elemento del formulario profile_id, Facebook envió a Whitten un _user value que era diferente del profile_id que Whitten había modificado.
Whitten dijo que probando el exploit conseguía resetear la contraseña de la cuenta atacada vía SMS en su propio móvil, apropiándose de esa manera de identidad atacada.
Facebook solucionó el problema no aceptando el parámetro profile_id por parte de los usuarios.
Esta podría haber sido una falla muy valiosa de caer en malas manos.
Enhorabuena señor Whitten. ¡Que disfrute de sus $ 20.000!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario