Joven descubre cómo hackear cualquier cuenta en Facebook

Anand Prakash, de 22 años, reportó el error y fue recompensado con US$ 15.000

El programador indio Anand Prakash, de 22 años, reveló en su blog cómo fue capaz de acceder a cualquier cuenta de Facebook aprovechando una "simple vulnerabilidad" encontrada en la red social.

Después de alertar a Facebook sobre el error de seguridad, Prakash se llevó una recompensa de 15.000 dólares.

¿Cómo lo hizo?

Cuando un usuario de Facebook pierde su contraseña, se le pide que introduzca su dirección de correo electrónico, nombre de usuario o número de teléfono, y luego se le envía un código de seis dígitos para iniciar su sesión. Para que los hackers no adivinen el código, el proceso se bloquea después de un cierto número de intentos.

Sin embargo, Prakash descubrió que la versión beta de la red social (beta.facebook.com), no tenía las mismas restricciones. El sitio especializado Gizmodo explicó que el desarrollador usó un programa llamado Burp Suite para probar rápidamente todas las combinaciones posibles hasta encontrar el código correcto. De esta forma, tuvo acceso a cualquier cuenta, por lo que podría haber visto la información personal de cualquier usuario.

Facebook asegura que el sistema estuvo expuesto durante no más de 72 horas y que el error apareció mientras realizaban cambios en sus sistemas de backend.

Prakash muestra el proceso en el siguiente video:

Falla de Facebook

"Traté de tomar el control de mi cuenta y fue un éxito sobre el reestablecimiento de la nueva contraseña. Entonces -pensó- podría utilizar la misma contraseña para iniciar sesión en una cuenta", escribió en su blog.