Un programador de 22 anys descobreix com hackejar qualsevol compte de Facebook

Anand Prakash és un programador de 22 anys que viu en una petita ciutat de l’Índia a 250 km de Nova Delhi. És conegut per ser un caçador de recompenses, dedicant a trobar forats de seguretat en el software de grans companyies.

En el seu últim post al seu blog, Anand explicava “Com podria haver hackejat tots els comptes de Facebook”. En aquesta ocasió no estem davant cap enganyifa, Prakash va trobar realment un mètode que li permetia accedir a qualsevol compte d’aquesta xarxa social, i Facebook no ha trigat a reconèixer-ho.

72 hores, ha estat el temps que tots els usuaris de Facebook van quedar exposats a la versió beta de la xarxa social, a la qual podem accedir a través de beta.facebook.com.

El mètode utilitzat per Anand Prakash es basava a utilitzar la funcionalitat de “Has oblidat la contrasenya?”, Que es troba just a sota de l’inici de sessió, en la que ens permet introduir el nostre correu electrònic o número de telèfon per restablir la contrasenya introduint 6 dígits.

Prakash va tenir en compte això últim, 6 dígits és més fàcil de resoldre que una contrasenya, de la qual no sabem la seva longitud, i que pot contenir caràcters, dígits i/o símbols.

Prakash Facebook

Facebook ja tenia en compte aquesta possibilitat, i en el moment en què Prakash va intentar introduir totes les combinacions possibles (una darrera l’altra), va ser bloquejat després de 12 intents.

En aquest moment, va decidir provar el mateix mètode des de la versió beta de Facebook (beta.facebook.com), portant-se així una sorpresa, ja que en aquesta web no existia cap límit i podia intentar infinites combinacions fins a trobar la correcta. En el vídeo adjunt podem veure el procediment.

Per fortuna, Anand Prakash és el que es coneix com un hacker white hat o de barret blanc, alertant així a Facebook d’aquesta vulnerabilitat. Va contactar amb la companyia el 22 de febrer i el 2 de març va ser recompensat amb 15.000 dòlars.

Facebook assegura que el sistema va estar exposat durant un temps aproximat de 72 hores i que l’error està solucionat, segons expliquen, aquest error va aparèixer mentre realitzaven canvis en els seus sistemes.