Seguridad

Detectan vulnerabilidad en Facebook que permite robar varias cuentas

como hackear facebook
Escrito por Redacción TICbeat

Un Ingeniero de Software que trabaja en Intel ha descubierto una vulnerabilidad en el sistema de reinicio de contraseñas de Facebook que permite robar cuentas.

Una de las búsquedas más realizadas en Google es “cómo hackear Facebook“, siendo la mayoría de resultados por no decir todos ellas estafas bien pensadas. Sin embargo, lógicamente hay gente que sería capaz de lograrlo, y en esta ocasión un Ingeniero de Software de Intel intentó hackear Facebook descubriendo así una vulnerabilidad presente.

Durante su investigación, Gurkirat Singh, residente en California, descubrió un gran agujero de seguridad en el mecanismo de reinicio de contraseñas de Facebook, el cual en última instancia permitiría acceder al perfil de cualquier usuario de la famosa red social. El fallo estaría presente en el código que se envía al interesado en esta situación.

Cuando te olvidas de tu contraseña, Facebook te envía un código a tu correo electrónico o por SMS, siendo siempre un código numérico formado por 6 dígitos, lo que significa que existe un máximo de 1.000.000 de combinaciones posibles antes de empezar a repetir códigos, siendo esta la causa del fallo.

Cómo evitar que WhatsApp le proporcione a Facebook tu número de teléfono

Según nos cuenta Gurkirat, esto significa que si se diese el caso de que 1 millón de personas solicitasen un reinicio de contraseña al mismo tiempo o con poca diferencia de tiempo, la persona 1.000.001 acabaría obteniendo un código que ya ha sido asignado a otra persona recientemente al no existir más códigos numéricos.

Para demostrar que realmente esto ocurría así utilizó una forma de enviar 2 millones de solicitudes de reinicio de contraseñas diferentes a Facebook, combinándolo con IDs de usuario que previamente averiguó que eran válidas, y utilizando también un sistema para que cada solicitud tuviese una IP diferente.

El proceso finalmente le llevó al punto en el que tenía la dirección URL que el usuario debía utilizar para reiniciar su contraseña, permitiendo así cambiar la de cualquier cuenta. Sin embargo, para su sorpresa tras informar a Facebook, este error fue calificado de baja prioridad y fue recompensado con 500 dólares por descubrirlo.

Artículo publicado en Computerhoy

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.