Se ha reportado (y corregido) un bug que permitía a cualquiera cambiar tu contraseña de Facebook utilizando la opción de recuperar contraseña de Facebook.
Anand Prakash ha reportado en su blog una vulnerabilidad que le dio (por unas 72 horas) la posibilidad de cambiar la contraseña de cualquier contraseña de Facebook que el deseara. Facebook lo ha recompensado con nada más y nada menos que $15.000 por haber reportado el bug.
La vulnerabilidad residía en la forma en que el dominio beta.facebook.com, destinado a probar las aplicaciones, manejaba el proceso de recuperación de contraseña.
Para recuperar la contraseña, al hacer click en «Olvidé mi contraseña», Facebook envía un PIN de seis dígitos vía correo electrónico o SMS para verificar que el usuario es el dueño de la cuenta de Facebook en cuestión. Si se intenta unas doce veces con código erróneo, Facebook bloqueaba el PIN por razones de seguridad.
En el dominio beta.facebook.com y mbasic.beta.facebook.com, por el contrario, esta limitación no existía, y Prakash pudo realizar un ataque de fuerza bruta, con el cual consiguió cambiar la contraseña utilizando una aplicación conocida como Burp Suite. Usándolo en contra del método POST, logró realizar exitosamente un ataque de fuerza bruta con los números de seis dígitos y finalizar el proceso de restablecimiento contraseña.
Prakash ha realizado las pruebas usando su propia cuenta, y Facebook ha solucionado la falla el pasado mes de febrero. Aunque la vulnerabilidad se resolvió en poco menos de 72 horas, es un poco escalofriante saber que cualquiera pudo haberse hecho con tu cuenta de Facebook con un ataque tan simple.
Aquí podemos ver la prueba de concepto que liberó en video:
Los programas de Bug Bounty han conseguido reparar una enorme cantidad de fallas, y el incentivo económico hace que cada vez más profesionales de la seguridad se dediquen a detectar estos fallos y reportarlos a os responsables. Project Zero de Google también está pensado para mejorar nuestra experiencia en la red.
Finalmente, ningún software es perfecto y estas iniciativas hacen que la misma comunidad de Internet solucionen fallos rápidamente para evitar grandes impactos a los internautas.
Fuente: Anand Prakash Blog