El sistema de recuperación de cuentas de Facebook no limitaba el número de intentos, lo que permitía forzar el acceso
Una importante falla de seguridad de Facebook permitió que hackers accedieran miles de cuentas de cualquier usuario de la red social, informó la edición digital del diario ingles The Telegraph.
El informe de este periódico detalla que la vulnerabilidad, encontrada por el ingeniero de seguridad de producto Anand Prakash, permitía forzar el acceso a las cuentas de Facebook usando el sistema de recuperación de contraseñas.
Esta herramienta permite a un usuario que no recuerda su clave puede pedir un código que es enviado a su teléfono o su correo para confirmar su identidad. Para ello debe ingresar un dato de identificación, como correo, nombre de usuario o teléfono registrado. Una vez recibido el código, se puede cambiar la contraseña.
El portal común de Facebook (Facebook.com) pone un límite a la cantidad de intentos para ingresar el código antes de bloquear la cuenta. Así, si una persona está buscando “adivinarlo”, no podrá entrar.
Sin embargo, según alertó Prakash, el sitio Beta de la red social, usado por desarrolladores, no impone esa limitación, por lo que un atacante podría usar un software para automatizar la búsqueda del código y finalmente entrar a la cuenta de cualquier persona.
Una vez adivinado el código, se puede cambiar la contraseña y cerrar las sesiones abiertas en todos los dispositivos vinculados a esa cuenta. El experto publicó un video probando el método en su propia cuenta.
El experto aseguró que informó sobre la vulnerabilidad a Facebook, que le pagó una recompensa de 15 mil dólares y solucionó el problema durante febrero, aunque no se sabe a cuantas personas afectó este fallo.
Por su parte, un portavoz de la red social dijo a The Telegraph que “uno de los más valiosos beneficios de los programas de recompensas de errores es la capacidad de encontrar problemas incluso antes de que lleguen a hacer daño”.
(elcomercio.com)