Gana 20.000 dólares por detectar un fallo serio en Facebook

Un investigador británico ha conseguido 20.000 dólares por descubrir un fallo muy grave en Facebook que podría haber permitido que un atacante consiguiera la cuenta de cualquiera con poco esfuerzo.

Según explica Jack Whitten, ingeniero de seguridad de aplicaciones, en un post, el fallo fue solucionado por la red social hace algo más de un mes. Concretamente el investigador informó del fallo un 23 de mayo y el parche estaba listo el 28 del mismo mes.

Whitten, que es quien ha conseguido los 20.000 dólares, descubrió que era posible resetear la contraseña de la cuenta de cualquier usuario de Facebook explotando un error en la manera como la red social permite a los usuarios asociar sus teléfonos móviles con sus cuentas.

Los usuarios pueden recibir actualizaciones a través de SMS y hacer login con su número de teléfono en lugar de con su dirección de correo electrónico.

Lo que descubrió Whitten fue que era posible modificar el campo ‘profile_id’ dentro de la confirmación móvil. De esta forma, cuando Facebook pide la contraseña puede introducirse la del atacante, asociando las cuentas y por tanto dando al hacker la posibilidad de resetear la contraseña de la cuenta de la víctima.

Un fallo de este tipo hubiera sido de muchísimo valor para los ciberdelincuentes que buscan abusar de las cuentas de Facebook para enviar spam o robar datos personales. El hecho de que la cantidad asignada a este fallo haya sido de 20.000 dólares “demuestra la gravedad del problema”, explica Jack Whitten.

El experto en seguridad trabajo bajo el pseudónimo “fin1te” y ha sido reconocido portambién por Google por encontrar vulnerabilidades en sus productos.