El programador indio Anand Prakash ha revelado en su blog cómo fue capaz de acceder a cualquier cuenta de Facebook aprovechando una "simple vulnerabilidad" encontrada en la red social.
Cuando un usuario de Facebook pierde su contraseña, se le pide que introduzca su dirección de correo electrónico, nombre de usuario o número de teléfono, y luego se le envía un código de seis dígitos para iniciar su sesión en la red social. Para que los 'hackers' no adivinen el código introduciendo diferentes combinaciones, el proceso se bloquea después de un cierto número de conjeturas.
Sin embargo, Prakash descubrió que la versión beta de la red social (beta.facebook.com y mbasic.beta.facebook.com), usada por los desarrolladores de 'software' y a la que cualquiera puede acceder, no tenía las mismas restricciones. Usando un programa llamado Burp Suite, el ingeniero fue capaz de probar rápidamente todas las combinaciones posibles hasta encontrar el código correcto. Ello le permitía entrar en la cuenta de cualquier usuario y ver información personal incluidos mensajes y números de tarjetas de crédito.
Según comentó a 'The Telegraph', la vulnerabilidad era "muy fácil de explotar" y "este truco estaba disponible para todo el mundo". Tras haber advertido a Facebook a finales de febrero, Prakash recibió una recompensa de 15.000 dólares. El error se corrigió y la red social asegura que estuvo expuesta durante solo tres días.
Facebook account takeover vulnerability from Anand Prakash on Vimeo.
El video de youtube fue eliminado.
También pueden visitar su blog y leer lo que el mismo descubrio.
aprender a hackear es complicado
ResponderEliminar