Todas las cuentas de Facebook fueron vulnerables hasta hace unos días

Hace unos días un investigador en seguridad informática encontró una vulnerabilidad en el sistema de recuperación de contraseñas de Facebook que le permitía cambiar la contraseña de cualquier cuenta de la red social. Para ello solo necesitaba conocer la dirección de correo o el número telefónico del dueño de la cuenta.

Luego de reportar el error a la red social, Anand Prakash recibió 15000 dólares de parte de la empresa como parte del programa de compensación que existe para estos casos.

El mail del programa de recompensas de Facebook

El bug

La vulnerabilidad se encontraba en el sistema para reiniciar la contraseña, el cual en un paso envía un código a la dirección de correo o por SMS al teléfono del titular de la cuenta de Facebook. El código de solo 6 dígitos permite establecer una nueva contraseña, y es esto de lo que se aprovecho el investigador, ya que mediante una técnica conocida como fuerza bruta lograba “adivinar” el código y reiniciar la contraseña.

El mecanismo de protección ante ataques de fuerza bruta funcionaba correctamente en facebook.com, pero no así en beta.facebook.com, y es en ésta ultima dirección donde Anand pudo realizar el hackeo sorteando los mecanismos de seguridad existentes.

Solución rápida

Al reportar la vulnerabilidad la gente de Facebook tardó menos de 24 horas en solucionarlo. Pero de todos modos deja en evidencia que ni las empresas más grandes, y que invierten millones en seguridad están protegidas contra errores de este tipo.