Investigador descubre fallo en Facebook que permitía borrar cualquier álbum de fotos

Un investigador de seguridad de nombre Laxman Muthiyah descubrió una grave vulnerabilidad en Facebook. El 'hack' en cuestión era tan sencillo como intrigante: mediante el envío de una instrucción específica a Facebook logró borrar cualquier álbum de fotos de la red social: propio o ajeno. Es decir, pudo borrar sus propias fotos a distancia, o las fotos del último congreso de Mark Zuckerberg.



El proble a fue reportado a Facebook mediante la herramienta provista para ello en su sitio web, y ya fue solucionado. Sin embargo, dicha vulnerabilidad llevaba años sin ser reparada. Por sus esfuerzos, la compañía otorgó a Muthiyah un estipendio de 12 mil 500 dólares. Internautas han criticado esto porque creen que la cantidad es demasiado baja para la importancia del fallo, reporta Gizmodo.

El investigador comenzó preguntándose si habría alguna forma de que alguien borrara una foto sin nuestro consentimiento en la red social. Muthiyah optó por utilizar los privilegios de acceso encriptados (tokens) de Android porque en las aplicaciones móviles de Facebook es más sencillo borrar fotos (no requiere tantos parámetros). Los token son los códigos de acceso que permiten a la aplicación de Facebook acceder a nuestro perfil o que, por ejemplo, un juego pueda acceder a nuestra información en la red social, sin tener que teclear la contraseña nuevamente ni alamacenarla en cookies.

En un primer intento, la API gráfica de Facebook se negó a la solicitud de borrado de una imagen hecha por Mutiyah porque utilizó una aplicación desde la que, de hecho, no se pueden borrar fotos. Al utilizar el token de la app de Facebook para Android, que sí tiene esos permisos, el hacker escribió el siguiente código:

 Request :-

 DELETE /518171421550249 HTTP/1.1
 Host : graph.facebook.com
 Content-Length: 245
 access_token=<Facebook_for_Android_Access_Token>

Y la respuesta de Facebook fue un sorprendente:

 Response :-

 true

Las cuatro líneas de código habían borrado todo un álbum de fotos sin problema alguno. Mutiyah realizó un video en el que comprueba cómo, después de realizar el procedimiento, ya no podía acceder al álbum. Había desaparecido.


Este es el video en cuestión:




De acuerdo al especialista Mark Stockley, el fallo puede parecer simple, pero si lo hubiera descubierto alguien malintencionado podría haber hecho muchísimo daño. Y los años que estuvo sin ser detectado le vuelven aún más inquietante.


Los números que identifican internamente a los álbumes en Facebook llevan una secuencia, así que se podría haber programado un bot para que borrara álbumes automáticamente a tasas impresionantes. El daño realizado a la imagen de la red social hubiera sido enorme antes siquiera de que se diesen cuenta de lo que estaba pasando, mucho menos arreglarlo.

Con Información de Naked News / Gizmodo