Un investigador de seguridad indú encontró una vulnerabilidad en la seguridad del famoso portal. El error permitió que se abriera una grieta a los hackers de la red a cualquiera de las más de 1,1 millones de cuentas de la red social usando una estrategia de fuerza bruta de violación de contraseña.
Anand Prakash, el hombre que colaboró en la detección y suspensión del problema, explica que cada vez que un usuario olvida su contraseña tiene la opción de restablecer la misma mediante la introducción de cualquier número de teléfono o cualquier dirección de correo electrónico a través de la página de restablecimiento de contraseña de Facebook. Por otro lado, la compañía de Zuckerberg, enviará un código de seis dígitos al número de teléfono o la dirección de correo electrónico que acaba de introducir con el fin de iniciar el restablecimiento de la contraseña. «Intenté obtener por fuerza bruta el código de 6 dígitos en www.facebook.com y estaba bloqueado después de 10-12 intentos no válidos, sin embargo, no implementaron esta medida de protección en beta.facebook.com y mbasic.beta.facebook.com». Por parte de Facebook, afirmaron que el colaborador había tropezado con un error temporal que sólo había dejado una vulnerabilidad por muy corto periodo de tiempo.
Pero en vez de saquear las cuentas de los datos financieros y aprovechar la vulnerabilidad de la seguridad, Prakash informó de sus hallazgos a Facebook, buen acto que le valió una recompensa de $ 15.000. El valor en dólares de su descubrimiento es enorme para los estándares de la compañía. Según Facebook, sólo unos pocos se han ganado recompensas tan altas como parte de su programa Bug Bounty.
¿Por qué la recompensa fue tan alta? Considerando esta mala decisión frente a los hackers, el fallo está ligado a la gravedad de la amenaza potencial; lo que se encontró es desconcertante para cualquier persona que utilice la red social y que valore la privacidad y la seguridad de su cuenta de Facebook.
