En varias ocasiones se ha hablado de la posibilidad de que la red social propiedad de Mark Zuckerberg estaría recopilando información de los usuarios con distintos fines, pero ahora, un nuevo caso de seguridad desvela que los más 1.500 millones de usuarios con cuenta en Facebook han estado expuestos al robo de su cuenta.
Así lo ha revelado un experto en seguridad informática, que ha mostrado cómo fue capaz de hacerse con el control de cualquier cuenta de la red social usando un software relativamente sencillo que le permitía acceder a la cuenta de cualquier usuario para cambiarle la contraseña de acceso, desconectar esa cuenta de todos los dispositivos y secuestrar por lo tanto esa cuenta.
Para ello, Anand Prakash, que es como se llama el experto en seguridad, se ha aprovechado del proceso que la red ofrece cuando un usuario pierde su contraseña y procede con la recuperación de la misma en donde la compañía se pone en contacto con el usuario a través de un correo electrónico. En este mensaje, se le facilita un código de seis dígitos para la recuperación de la contraseña que sólo puede ser introducido un número de veces concreto como medida de seguridad, para que en el caso de que alguien nos esté intentando robar la cuenta, el proceso se bloquee.
Sin embargo, según afirma Prakash, la beta de Facebook que utilizan los desarrolladores no cuenta con estas mismas restricciones. De ahí que este agujero haya sido aprovechado por el experto para que gracias al programa Burp Suite, que calcula rápidamente todas las posibles combinaciones para un código de seis dígitos, pueda introducir correctamente el código facilitado por Facebook al usuario y por lo tanto, continuar con el proceso de restablecimiento de una nueva contraseña.
Desde ese mismo instante, ya tendría acceso a la cuenta y la podría desconectar del resto de dispositivos desde donde el propietario de ese perfil tiene acceso. Desde ese mismo instante, la cuenta ha sido completamente robada al usuario y el actual propietario puede hacerse pasar por él o incluso acceder a su información privada como mensajes o incluso números de tarjetas de crédito.
Además, Prakash afirma que esta vulnerabilidad era muy fácil de explotar y además estaba disponible para todo el mundo. Para ello, sólo era necesario saber el nombre de usuario de la cuenta a la que se quería acceder, algo que es público, y desarrollar un simple programa que generase y probase con todas las combinaciones posibles de seis dígitos y así poder proceder con el cambio de contraseña de una cuenta.
Anand Praksh alertó a los de Mark Zucerkberg de este fallo y fue recompensado con 15.000 dólares por descubrir esta vulnerabilidad y reportársela. Durante el pasado mes de febrero Facebook ha tomado medidas en el asunto y a día de hoy ya está solucionado.