Anand Prakashun programador indio, recibió 15.000$ de parte de Facebook, luego de advertirles sobre una vulnerabilidad «muy fácil de explotar», en la seguridad de la versión beta de la página.

Cuando se nos olvida la contraseña para el inicio de sesión en la red social, se nos solicita el correo electrónico, número telefónico o nombre de usuario, para proceder a enviarnos un código de seis dígitos para iniciar sesión. Sin embargo, para cuidar nuestra información almacenada en el sitehay un límite de intentos fallidos. Esto, para evitar que algún «hacker» pueda ingresar usando combinaciones.

Sin embargo, en la versión beta, la cual es usada por los programadores, y a la que todos podemos tener acceso, no se contaba con esta restricción de protección; cosa que Prakash descubrió.

El ingeniero declaró al diario The Telegraph que la vulnerabilidad era «muy fácil de explotar» y «este truco estaba disponible para todo el mundo». Anand utilizó el programa Burp Suite para probar rápidamente todas las combinaciones posibles hasta encontrar el código correcto, lo que le permitía entrar en la cuenta de cualquier usuario y ver su información personal -incluidos mensajes y números de tarjetas de crédito-.

Luego de que Prakash notificara a Facebook de ésta vulnerabilidad, transcurrieron ocho días para que el ingeniero recibiera una paga de 15.000$ por haber reportado la falla. Facebook cuenta con un programa de recompensas por detectar errores en la página desde 2011 y ha cancelado a más de 800 investigadores más de 4.3 millones de dólares, por detectar las fallas.

Facebook declaró en un comunicado que: «uno de los beneficios más valiosos del ‘programa de recompensa de errores’ es la capacidad de poder encontrar problemas, incluso, antes de que lleguen a la producción«. Adicionalmente indicó que «estamos encantados de reconocer y premiar a Anand por su excelente informe». 

Aunque parezca una suma extremadamente alta, estamos contentos de que Prakash haya detectado este fallo. ¡Nuestra información también te lo agradece, Anand!

¿Estás feliz porque se haya solventado este problema? Déjanos tu opinión en los comentarios.

Fuente: The Verge