Facebook ha pagado 20.000$ por un error grave que podría haber permitido a un atacante secuestrar la cuenta de cualquier persona fácilmente, sin necesidad de interacción por parte de la víctima.
Jack Whitten, el ingeniero de seguridad (de día) e investigador de seguridad (de noche) que descubrió el fallo, dijo que el 23 de mayo informó del agujero a Facebook y que éste estaba solucionado el 28 de mayo.
El exploit se basa en las actualizaciones de los teléfonos móviles vía SMS.
Facebook ofrece a los usuarios la opción de vincular sus números de teléfono móvil a sus cuentas, pudiendo recibir actualizaciones a través de SMS y también conectarse usando su número de teléfono en lugar de su correo electrónico.
Whitten descubrió que al enviar la letra F por SMS a Facebook – que es 32 665 en el Reino Unido – Facebook devolvía un código de verificación de 8 caracteres.
Después de enviar el código a la casilla de activación y jugueteando con el elemento del formulario profile_id, Facebook envió a Whitten un _user value que era diferente del profile_id que Whitten había modificado.
Facebook solucionó el problema no aceptando el parámetro profile_id por parte de los usuarios.
Esta podría haber sido una falla muy valiosa de caer en malas manos.
Enhorabuena señor Whitten. ¡Que disfrute de sus $ 20.000!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: