ver más

Tecnología

Facebook: hacker encuentra nuevas vulnerabilidades

Dan Melamed, hacker especialista en seguridad, encontró dos nuevas vulnerabilidades en la red social. Enterate de cuáles son.

Pablo Lozano


 

Dan Melamed es un hacker especialista en seguridad y dedica su tiempo y conocimientos a encontrar distintas vulnerabilidades en sitios web que luego vuelca en su blog.

El tema es que publica cada vez que un sitio corrige los errores que va descubriendo. Eso es mucho menos divertido, pero igualmente te lo comentamos para que tengas más conocimientos sobre cómo hacen estos hackers su búsqueda y, ojalá, lo tomes como un desafío. Aunque también puede servirte para que veas cuán débiles pueden llegar a ser los sitios web, incluso los que se caracterizan por su robustez como Facebook.

El tema viene del lado de las Fanpages de la red social de Zuckerberg. Dan Melamed se encontró con una función en estas páginas, en el sector para invitar a tus amigos a dar "Me gusta" en una fanpage, que permite invitar a los usuarios a que den "Me gusta" aunque no sean tus amigos. Si nunca lo hiciste: no, no podés invitar a usuarios que no sean tus "amigos" en Facebook a dar "Me gusta" en tu página.

Por otro lado, hay una segunda falla, que permite hacerte pasar por otros contactos para invitar a los suyos a dar "Me gusta".

¿Para qué sirve esto? Para hacer spamm

Facebook es una gran red para hacer spam de distintas maneras, ya que permite tener acceso a distintas informaciones (gustos, intereses, edades, teléfonos, ubicación geográfica, entre otros) que permiten ser más específicos a la hora de contactar a alguien que no ha manifestado su intención de ser contactado y de esa manera lograr mejores objetivos.

Si un spammer te envía algo que no abrís, desperdicia tiempo, plata y energía. Ser específico, permite enviarte spam que tal vez te interese (pero sigue siendo spam).

Esta vulnerabilidad pudo haber sida utilizada de esta manera, aunque seguramente el uso haya sido el de invitar compulsivamente a millones de usuarios de la red social.

Un bot (algo así como un robot, un software programado para realizar una gama de acciones de forma repetitiva y continua) podría generar una gran multitud de IDs (número de identificación de cada usuario o Fanpage) y enviarles spam pidiendo dar "Me gusta" a una determinada Fanpage. También resulta muy interesante el otro error detectado por este hacker, para enviar invitaciones haciéndote pasar por otra persona (lo cual tiene, obviamente, mucho mejores resultados).

Para ser más específicos. En Facebook pueden existir miles de usuarios o páginas con el mismo nombre (ej: Pepe Fernández), pero la forma de hacerlos únicos es darle a cada uno un número de identificación, un ID.

De esta forma, Pepe Fernandez puede ser 00101001435 y 00101031532 al mismo tiempo, ambos usuarios o páginas se llaman Pepe Fernández pero se trata de distintos Pepes Fernandez. De esto último podrían valerse los spammers para invitarte a dar "Me gusta" a determinadas páginas.

Melamed publicó que para reproducir este error, primero tenés que visitar un link con el ID de la página a la que querés invitar a tus amigos (ésta es la de este suplemento, por si querés darle unos me gusta).
Una vez dentro, cuando clickees en "invitar a tus amigos" deberías cambiar el ID de invitados (invite_id) en la barra de direcciones por el de alguien que no esté entre tus contactos.

Por ejemplo:

https://m.facebook.com/send_page_invite/?pageid=583584051694359 es el link de prueba que publica Melamed. El del suplemento Hackers en Facebook es este: 301986879938767.

Por lo cual el primer paso para enviar spam usando esta vulnerabilidad quedaría así:

https://m.facebook.com/send_page_invite/?pageid=301986879938767

Entras en esa dirección (probalo, no pasa nada), y te va a aparecer un listado de tus contactos donde a la derecha podés ver el botón "Invitar".

Ahora, copiamos el enlace de uno de los botones (click con el botón derecho->copiar enlace). El resultado es este:

https://m.facebook.com/send_page_invite/?pageid=301986879938767#

Lo cual nos muestra que la vulnerabilidad ya fue resuelta, porque sino, aparecería esto:

http://m.facebook.com/a/send_page_invite/?invitee_id=4&page_id=301986879938767

Analizando el link ves que se trata del sector para móviles de la red social (de ahí el subdominio "m") y que el ID del invitado es el número 4.

Pensarás "qué difícil enviar spam así", pues no, basta con programar un pequeño robot que reemplace el ID de invitados por otro aleatorio y dejarlo funcionando, seguro en pocas horas, habrías podido invitar a millones de personas.

Programar este bot es algo que puede hacerse en sólo un par de horas y no requiere de grandes conocimientos. De hecho -así mirándolo rápido- es algo que habría podido hacerse muy fácilmente con algunos comandos básicos de la consola de GNU/Linux (bash), aunque seguro en otros lenguajes se puede hacer mucho más rápido y efectivo.

 

Tal vez no te interese ponerte a programar un bot, no está mal, pero te contamos todo esto para que veas cuán fácil puede ser crackear un sitio como Facebook.

¿El dato? Dan Melamed nunca necesitó ingresar a los servidores de la red social, sólo tuvo que copiar y editar unos enlaces.

Difícil, ¿no?

¡Happy Hacking!

 

 


Te recomendamos