Lo difícil que es ganarse la vida para un hacker de sombrero blanco reportando un problema de seguridad a Facebook

| 20 Ago, 2013 | Ciberamenazas, General | No hay comentarios

Sinceramente, tras leer las peripecias del hacker de sombrero blanco palestino y desempleado Khalil Shreateh intentando sacarse unos durillos reportando un fallo de seguridad a Facebook, me parece haberme transportado a los años 70 y estar viendo un argumento malo de película española de Alfredo Landa, porque la historia tiene tela.

Resulta que Facebook tiene un programa para premiar a todos aquellos que contribuyan a mejorar la seguridad de la plataforma reportando bugs o errores. Y si el investigador tiene razón, Facebook le paga unos 500$, que tampoco es que sea un gran alarde, pero al menos es un dinerillo. Para los que no lo sepan, hay muchos –y muy buenos- expertos en seguridad que se dedican a investigar problemas y a reportarlo a las compañías, ganándose de esta manera un sueldo y haciendo una gran labor social. Es lo que hacen los llamados hackers de sombrero blanco o hackers éticos.

Pues bien, nuestro protagonista de hoy descubrió una vulnerabilidad que permitía a cualquiera publicar información en el muro de cualquier perfil incluso si no se le tenía como amigo y tenía privada la información. Así que ni corto ni perezoso publicó un vídeo (por cierto, un vídeo de YouTube con un tema de Enrique Iglesias) en el muro de Sarah Goodin, amiga de Mark Zuckerberg, y le envió a Facebook el reporte de su hazaña explicando cómo funcionaba el exploit:

Ashampoo_Snap_2013.08.12_02h52m42s_001_

—–Original Message to Facebook—–
From: kha****@hotmail.com
To:
Subject: post to facebook users wall .

Name: Ḱhalil
E-Mail: khal****@hotmail.com
Type: privacy
Scope: www
Description: dear facebook team .

my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .

i would like to report a bug in your main site (www.facebook.com) which i discovered it .

repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link – > https://www.facebook.com/10151857333098885
—–End Original Message to Facebook—–

A lo que los señores de Facebook contestaron con un parco: “No vemos nada cuando hacemos clic en el link porque da un error”:

Hi Ḱhalil,
I dont see anything when I click link except an error.
Thanks,

Emrakul
Security
Facebook

Evidentemente, él contestó que no lo veían porque el muro de Sarah Goodin estaba cerrado y ellos no eran sus amigos, y que ese era el problema. Pero ignoraron su explicación diciendo que no era ningún bug:

Hi Ḱhalil,

I am sorry this is not a bug.

Thanks,

Emrakul

Security

Facebook

—–Original Message to Facebook—–

From: khali***@hotmail.com

To:

Subject: urgent : post to non friends facebook users wall .

Name: Ḱhalil

E-Mail: kh***@hotmail.com

Type: privacy

Scope: www

Description: dear facebook team .

my name is khalil shreateh.

i finished school with B.A degree in Infromation Systems .

i would like to report a bug in your main site (www.facebook.com) which i discovered.

i’am reporting this bug for the second time.

repro:

the vulnerability allow’s facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post

link – > https://www.facebook.com/10151857333098885

of course you may cant see the link because sarah’s timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority .

this is a picture shows that post :

https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash4/q71/s720x720/999429_10151857336258885_2061448780_n.jpg

—–End Original Message to Facebook—–

Así que ni corto ni perezoso, como no le hacían caso, utilizó la misma vulnerabilidad que había descubierto para publicar el problema en el propio muro de Mark Zuckerberg, que en este caso sí era público y estaba abierto:

Ashampoo_Snap_2013.08.15_12h07m59s_002_

Ashampoo_Snap_2013.08.15_12h54m04s_004_

Solo unos minutos después, un ingeniero de Facebook se puso en contacto con él pidiéndole más detalles acerca de la vulnerabilidad.

vulnerabilidad-en-facebook

Y a continuación, le suspendieron la cuenta, notificándole que lo habían hecho como medida de precaución. Y que, además, que no le iban a pagar por esta vulnerabilidad, dado que había violado los Términos del Servicio al hacer uso del agujero de seguridad en su demostración:

Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua

Security Engineer

Facebook

Su cuenta está restablecida, y Khalil todavía tuvo tiempo, antes de que la historia circulara, de hacer una cosa más: un vídeo en el que, por enésima vez, demostraba cómo aprovechar la vulnerabilidad de Facebook:

Bien… Al final la jugada a este joven ingeniero le ha salido redonda, porque Facebook no le ha pagado los 500$ que prometía de recompensa, pero está siendo mundialmente conocido gracias a que la historia ha saltado a los medios de comunicación de todo el mundo. Y… aprovechando que el Pisuerga pasa por Valladolid, este chaval ya está pidiendo visitas a un sitio que le comisiona por llevar tráfico.

Si Facebook hubiera jugado justamente, no se hubiera visto envuelto en un escándalo que no ha hecho más que evidenciar que intentar timar a los que intentan ayudar no es buena política. No entramos a valorar si el bug de seguridad es o no –aunque parece que sí-, dado que no hemos tenido la oportunidad de evaluarlo, pero un poco más de amabilidad hubiera bastado para que la historia no hubiera corrido como la pólvora.

Por supuesto que Facebook no ha hecho ninguna alusión al respecto en sus blogs oficiales, pero sí ha hecho un comentario en un foro de desarrolladores en el que, a su manera, confirman el error y justifican el porqué han actuado como lo han hecho: “Hacer explotar errores para impactar a los usuarios no es un comportamiento que entre dentro de lo que se denomina ‘sombrero blanco’. En este caso, el investigador usó el error que descubrió para poner mensajes en los muros de varios usuarios sin su consentimiento”.

En estos casos es cuando, al final de la peli, Alfredo Landa aparece en escena y con su cara de “aquí no ha pasado nada” pregunta aquello de… “y la familia, ¿bien?” ;-). That’s life!

Yolanda Ruiz

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..