20 de agosto de 2013

FACEBOOK. Descubierta nueva vulnerabilidad pero ‘Joshua’ no paga

Khalil Shreateh, especialista en tecnologías de la información, descubridor de la vulnerabilidad, ha demostrado el fallo por medio del perfil en Facebook de su propio fundador, Mark Zuckerberg, después de ser ignorado por el equipo de seguridad de la red social.
Esta vulnerabilidad permite a cualquier persona publicar en la página de un usuario de Facebook, independientemente de si éste es su amigo en la red social o no. 
Según informa CNET, Shreateh informó del bug a través del servicio de divulgación de seguridad de Facebook, Whitehat, que ofrece una recompensa mínima de 500 dólares para los que descubran errores legítimos.
Sin embargo, un ingeniero de seguridad de Facebook respondió a Shreateh con una escueta nota: “Lo lamento, esto no es un error”.
En vista de ello, Shreateh decidió compartir su experiencia con Zuckerberg mediante la publicación de un comentario en el muro página del fundador de Facebook, en el que se disculpó por el mensaje pero dijo que “no tenía otra opción”.
En cuestión de minutos, Shreateh fue contactado por un miembro de seguridad de Facebook pidiendo información sobre el exploit. Shreateh observó que su cuenta de Facebook había sido desactivada rápidamente. Según un ingeniero de seguridad, se hizo como “medida de precaución”.
Dicho ingeniero, identificado como “Joshua”, informó a Shreateh de que no iba a recibir una recompensa por informar de la vulnerabilidad, ya que había violado los términos del sitio.
“La explotación de los errores que afecten a usuarios reales no es un comportamiento aceptable para Whitehat”, explicó Joshua, quien, no obstante, invitó a Shreateh a “seguir sigue trabajando con nosotros para encontrar vulnerabilidades en el sitio”.
Seguramente esta última invitación llevará implicita un nuevo rechazo al pago de la recompensa con cualquier otra disculpa que a buen seguro no excusará el sinfín de fallos y vulnerabilidades descubiertas en esta red social desde su puesta en servicio.

Fuente: ITespresso