El descubrimiento se ha hecho viral, porque el propio Prakash ha publicado una entrada en su blog titulada “Cómo podría haber hackeado todas las cuentas de Facebook”, suponemos, para aumentar su fama. El método desarrollado por este investigador se aprovecha de la funcionalidad “¿Olvidaste tu contraseña?”, que se encuentra justo debajo del inicio de sesión y que nos permite introducir nuestro correo electrónico o número de teléfono para reiniciar nuestra contraseña de manera segura introduciendo seis dígitos. Este método facilita la labor a los ciberdelincuentes, ya que es más fácil resolver una contraseña si tienes la seguridad de que está compuesta de seis dígitos, que si no sabes la longitud ni el tipo de caracteres usados.
Parece irónico que no importe la fortaleza de nuestra contraseña porque la que sirve para recuperar la cuenta es siempre más débil. Eso sí, Facebook ya había pensado en la posibilidad de intentar entrar en una cuenta introduciendo diferentes combinaciones de manera progresiva y, por esta razón, Prakash fue bloqueado después de 10 o 12 intentos. Aquí se puede ver su método:
[URL del Vídeo]: https://vimeo.com/158452537[center]
Lo paradójico es que, al intentar llevar a cabo esta acción en beta.facebook.com, la versión beta de Facebook, Prakash se dio cuenta de que esa limitación no existía, y que, por tanto, podía intentar una combinación tras otra hasta encontrar la correcta. A través de esta beta Prakash tuvo el poder de acceder a cualquier cuenta, al menos, hasta que avisó a Facebook de lo que estaba ocurriendo.
Sí, él mismo avisó de la vulnerabilidad a Facebbok ya que él se reconoce a sí mismo como un white hat o de sombrero blanco, que a diferencia de los black hat son hackers cuyo objetivo no es el beneficio propio, sino encontrar fallos de seguridad y reportarlos. Facebook le pagó 15.000 dólares en agradecimiento por la “ayuda prestada” pues, este descubrimiento ha permitido a la empresa arreglar el bug y ya no es posible acceder a una cuenta a través de esta funcionalidad.
[center]Fuente Obtenida desde globbsecurity.com
Lo paradójico es que, al intentar llevar a cabo esta acción en beta.facebook.com, la versión beta de Facebook, Prakash se dio cuenta de que esa limitación no existía, y que, por tanto, podía intentar una combinación tras otra hasta encontrar la correcta. A través de esta beta Prakash tuvo el poder de acceder a cualquier cuenta, al menos, hasta que avisó a Facebook de lo que estaba ocurriendo.
Sí, él mismo avisó de la vulnerabilidad a Facebbok ya que él se reconoce a sí mismo como un white hat o de sombrero blanco, que a diferencia de los black hat son hackers cuyo objetivo no es el beneficio propio, sino encontrar fallos de seguridad y reportarlos. Facebook le pagó 15.000 dólares en agradecimiento por la “ayuda prestada” pues, este descubrimiento ha permitido a la empresa arreglar el bug y ya no es posible acceder a una cuenta a través de esta funcionalidad.
[center]Fuente Obtenida desde globbsecurity.com