Anand Prakash, un entusiasta indio dedicado a la búsqueda de fallas de seguridad, encontró una vulnerabilidad en los servidores beta de Facebook. Su descubrimiento le valió una recompensa de 15 mil dólares por parte de la compañía, en el marco de su programa de recompensas.

Sucedía que en versión beta, los sitios de Facebook no limitaban los PIN utilizados para el restablecimiento de contraseñas. Por lo tanto, la explotación de esta falla permitía cambiar la contraseña de una cuenta ajena. Así es como Prakash presentó el caso en su blog:

Es una simple vulnerabilidad hallada en Facebook que podría haber sido usada para acceder a la cuenta de otro usuario fácilmente sin que tenga que interactuar. Esto me dio acceso total a la cuenta de otro usuario estableciendo una contraseña nueva.

Pude ver mensajes, las tarjetas de débito o crédito guardadas en la sección de pagos, fotos personales, etc. Facebook reconoció el problema inmediatamente, lo corrigió y recompensó con US$15.000 considerando la severidad y el impacto de la vulnerabilidad.

Tras su reporte inicial el 22 de febrero de 2016, Facebook demoró apenas un día en solucionar la vulnerabilidad y el pasado 2 de marzo le entregó su recompensa. A partir de entonces, es posible la publicación responsable de los detalles; veamos entonces cómo funcionaba la falla.Facebook beta, sin límite de PIN para restaurar contraseñas

Como sabrás si eres usuario de Facebook, en caso de que olvides tu contraseña es posible que la restablezcas ingresando tu número de teléfono o dirección de correo electrónico para que te envíen un código de seis dígitos, el cual debes ingresar para cambiar la clave por una nueva.

Al hacer sus pruebas desde www.facebook.com, Anand Prakash usó fuerza bruta para intentar obtener uno de los códigos enviados a una determinada cuenta, pero halló que era bloqueado después de entre 10 y 12 intentos fallidos. En cambio, cuando lo intentó desde beta.facebook.com y mbasic.beta.facebook.com, lo logró: allí no había límites para los intentos y podía probar diversas combinaciones hasta obtener aquella que le permitiera cambiar la contraseña de la cuenta, para así acceder a ella.

Naturalmente, una vez adentro pudo acceder a toda la información cargada en el perfil - en este caso, usó una cuenta propia para no comprometer la privacidad de ningún usuario, pero la prueba demuestra que podría haber funcionado con cualquier otro perfil. Encontrarás más detalles en el siguiente video elaborado por él mismo:

"Como puedes ver en el video, pude crear una nueva contraseña de usuario haciendo fuerza bruta con el código que se había enviado a la cuenta de email o número de teléfono", concluye Prakash en su post.

Esta no es la primera vez que reporta con éxito una falla a Facebook; de hecho, lo viene haciendo cada año desde 2013, como se puede ver en el listado de agradecimientos de la plataforma social.

Sigue leyendo: Las mayores recompensas pagadas por encontrar bugs