Este
joven descubrió una vulnerabilidad en el sistema de la red social y, en
vez de aprovecharla para hacer de las suyas, prefirió reportarla a la
compañía de Marc Zuckerberg.
Ante eso, Facebook lo recompensó con US$12.500, además de arreglar la falla en menos de dos horas.
Así lo contó el propio Muthiyah en su blog, acompañando la historia con un par de capturas de pantalla para sustentarla.
El hacker
identificó la falla en el Graph API, el corazón de la plataforma
Facebook que permite a los desarrolladores externos crear aplicaciones
aprovechando los datos de la red social.
Según Muthiyah, la vulnerabilidad estaba en el token de acceso, un código HTTP, una cadena opaca que identifica a un usuario o aplicación al ingresar en la red social.
El hacker se dio cuenta que podía acceder a la versión móvil de Facebook y aprovechar para borrar álbumes enteros de fotografías.
Según
lo explicó, lo podía hacer simplemente enviando a Graph API una
solicitud con el ID del álbum de fotos de la víctima y utilizando para
ello su propio token generado para la aplicación de Facebook para Android.
Ante esto, la compañía informó de que no registraron ningún mal uso relacionado con la vulnerabilidad en cuestión.
En
Facebook se comparten a diario más de dos billones de imágenes, según
informó el fundador y creador ejecutivo de la red social, Marl
Zuckerberg en el reporte de las ganancias del último cuatrimestre.
19 premiados
Muthiyah
recibió el dinero a través de un programa de recompensas que tiene
Facebook para aquellos que identifiquen errores de su sistema.
El
año pasado un ingeniero de computación obtuvo US$33.500 por descubrir y
reportar una falla que permitía a un hacker leer casi cualquier archivo
de la red social.
Y en lo que va de año, de acuerdo a la compañía 19 personas han sido gratificadas por informaciones similares.
Todas
ellas tuvieron más suerte que Khalil Shreateh, un palestino que logró
acceder al perfil en Facebook de Zuckerberg e informó de ello a la
empresa.
Ésta, sin embargo, no le hizo mayor caso. Así que para
probar la existencia del fallo colgó un mensaje en el muro del fundador
de la red social.
Entonces,
la compañía emitió una discula por haber sido "demasiado apresurada y
desdeñosa" a la hora de evaluar el reporte de Shreateh, aunque tampoco
le pagó por la información.
Ante esto, la firma de ciberseguridad
Beyond Trust inició una campaña para recaudar una recompensa para el
palestino y logró reunir US$10.000.
Programas de recompensas
Facebook no es la única compañía que paga a aquellos que identifiquen vulnerabilidades en su sistema.
El gigante estadounidense de los servicios de internet, Google, lanzó recientemente el Programa de Recompensas por Seguridad.
No hay comentarios:
Publicar un comentario
Tu opinion nos ayuda a crecer