Descubre la mayor vulnerabilidad de la historia de BitTorrent y la compañía no le recompensa

La pasada primavera un particular detectó un grave fallo en BitTorrent que podía haber costado muy caro a la compañía. Tras reportarlo, la responsable de la red P2P decidió ignorar la petición del usuario para cobrar una cantidad justa por la información. Ante ello ha optado ahora por publicar todos los detalles de la vulnerabilidad.

A pesar de que los fallos en el sector informático y tecnológico están a la orden del día, el caso que nos ocupa es especialmente llamativo. Es frecuente que las grandes compañías acaben recompensando a aquellos usuarios que reportan vulnerabilidades, pero la última noticia publicada en Torrentfreak deja en entredicho a los responsables de BitTorrent, que no supieron hacer lo propio con el particular que les comunicó el que probablemente sea el mayor fallo detectado desde la creación de una empresa con más de 150 millones de usuarios al mes.

Dicha cantidad nos lleva a imaginar las tremendas consecuencias que podría haber tenido dicha vulnerabilidad en caso de haber sido descubierta por alguien con intenciones maliciosas. No fue el caso de MentaL, administrador de RaGEZONE, encargado de detectar por casualidad el fallo mientras buscaba un proveedor de hosting para un amigo.

En su búsqueda se topó con el panel de control de Jenkins de BitTorrent, que acabó siendo la puerta de entrada a una ingente cantidad de información altamente confidencial almacenada por la compañía. «Olvidaron incluir una contraseña para administrar el panel desde el cual se tenía acceso a la cuenta principal», explica MentaL. «Cualquiera que tuviese el acceso que yo tuve podía haber robado el código fuente de todos los productos BitTorrent y más. Por ejemplo, si fuese un idiota podía haber modificado la actual versión con una actualización que incluyese un virus y destruyese todo el contenido de los usuarios que la instalasen», destacó.

Esto nos da una idea del potencial alcance de esta vulnerabilidad, que también hubiese servido para revelar información confidencial y financiera sobre BitTorrent Inc. Sin embargo, la decisión de MentaL fue comunicárselo a la compañía sin actuar con malicia, ante lo que le respondió agradecida y prometiéndole una recompensa económica. La primera cantidad ofrecida fue de 500 dólares, que el usuario no tardó en rechazar por lo baja de la misma.

No en vano, el propio cliente había comprobado los balances económicos de la compañía y vio cómo se habían producido ofertas de trabajo con salarios de 150.000 dólares al año, lo que le sirvió para hacerse una idea de las cantidades que maneja BitTorrent y la escasa recompensa que pretendían darle. «Ingresan millones al año en concepto de publicidad y nunca hice nada malo con la información que tenía, por lo que me siento insultado«, sentenció a la par que hizo público su caso a través del citado portal en señal de descontento.