¿Qué ocurre cuando informas de una vulnerabilidad a una web y lo ignora completamente en vez de ofrecer una recompensa por el descubrimiento?
Algunos hackers simplemente se olvidarían del tema, pero un grupo de desarrolladores de apps en Rusia escogieron otra opción. Lo que decidieron fue explotar la vulnerabilidad para enviar spam a miles de usuarios de la principal red social rusa.
El grupo, llamado Bagosi, desarrolla apps que se ejecutan en VKontakte (VK), una red social con sede en San Petersburgo que tiene más de 500 millones de usuarios y pertenece a la empresa rusa Mail.ru.
Según ZDnet, el grupo descubrió una vulnerabilidad en la plataforma de la que informó hace un año.
En una entrada en VKontakte, Bagosi explicó que la red social ignoró el aviso y no premió a la persona que lo descubrió de ninguna forma, pese a que VKontakte tiene un programa de recompensas por bugs con Hacker One. VK ha informado que el programa lleva funcionando desde 2015 y que ya han pagado más 250.000$ en recompensas. Sin embargo, Hacker One afirma que el programa de VK está auto gestionado, por lo que lo son empleados de VK y no de Hacker One quienes lo llevan a cabo.
Bagosi decidió dar publicidad a la vulnerabilidad de una forma espectacular. Escribió en VK una entrada que contenía un script que lo activaba cuando se veía. El script publicaba un enlace a la entrada en cualquier página o grupo que la víctima gestionara.
Bagosi utilizó algunas técnicas de ofuscación, según varias entradas en las que explicaron lo que hicieron en VK. Accedieron a varias reseñas aleatorias de Google Play y también utilizaron titulares aleatorios para intentar saltarse los filtros anti-spam.
Claramente, VK actúa rápido cuando quiere. Los desarrolladores de apps lanzaron el ataque el 14 de febrero, y la red social lo cerró poco después. Un representante de VK dijo:
Al minuto de descubrir la vulnerabilidad, comenzamos a borrar las entradas no deseadas, y en 20 minutos la vulnerabilidad estaba solucionada.
Sin embargo, la página se extendió rápidamente antes de que VK la bloqueara. Bagosi dijo en una entrada en VK:
La página acumuló más de 100.000 visitas. Dado que VK solo contabiliza las visitas únicas, se puede concluir que unas 140.000 personas fueron víctimas del gusano.
VK expulsó la cuenta del grupo tras detectar el spam, pero los volvió a admitir al comprobar que el gusano no robaba información de usuarios.
Bagosi explicó que hicieron todo lo posible para informar de la vulnerabilidad, pero que no les hicieron caso. Por esto surge la duda de si es correcto aprovechar la vulnerabilidad lanzando un ataque benigno o es mejor no hacer nada.
Le hemos preguntado a Dan Kaminsky lo que opinaba. Kaminsky es uno de los reyes de la revelación responsable, conocido por gestionar una seria vulnerabilidad en los DNS durante meses mientras trabajaba con las principales empresas de internet para encontrar una solución. Dijo:
Las pruebas de concepto benignas suelen no manipular los sistemas. Esta lo hizo. Eso no la convierte en maliciosa, pero si el fin es proteger a los usuarios, hay formas más amigables.
Hay un punto medio que no implica enviar spam a miles de personas. Añadió:
Este tipo de disputas entre proveedores y expertos no son por el interés de la seguridad del usuario.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: