Un investigador 'hackea' a Zuckerberg para mostrar una falla en Facebook
Un investigador palestino publicó la semana pasada un mensaje en el muro de Facebook de Mark Zuckerberg, director ejecutivo de la red social, después de que, según dijo, el equipo de seguridad de la página no tomara en serio sus advertencias sobre una falla de seguridad.
"Primero, siento haber irrumpido en tu privacidad al publicar esto en tu muro", escribió Khalil Shreateh. "No tengo otra alternativa después de todos los informes que envié al equipo de Facebook".
Shreateh, quien se describió a sí mismo como un investigador de seguridad desempleado, y quien tiene un título en sistemas de información, dijo que encontró un agujero en los sistemas de Facebook que le permitieron hacer publicaciones en la página de cualquier usuario, incluyendo los que no eran parte de su lista de amigos.
Aprovecharse de esta situación sería una mina de oro virtual para que se den ataques de spam, fraudes y otros que traten de sacarle ventaja a los casi 1,000 millones de usuarios que el sitio tiene alrededor del mundo.
En su blog, Shreateh publicó una serie de correos electrónicos que aseguró haber intercambiado con el equipo de seguridad de Facebook. Después del primero, un empleado de Facebook respondió que el enlace adjunto estaba mal.
Sherateh había incluido una publicación, un video de Enrique Iglesias, que dice haber publicado en la página de una mujer que había ido a la universidad con Zuckerberg. Él suponía que el equipo de seguridad de Facebook no podía verlo, porque no estaban en su lista de amigos.
Facebook respondió a este segundo mensaje diciendo que el asunto que él estaba reportando no era un bug (error de software). Esta fue su respuesta: "Muy bien. Entonces, no tengo otra alternativa que reportarle la situación al mismo Mark en Facebook".
No hace falta decir que esto llamó su atención. Facebook indicó que el jueves arreglaron la falla. Sin embargo, durante el fin de semana, el acontecimiento se volvió una noticia importante en blogs de tecnología.
Shreateh recibió ofertas de trabajo después de conocerse su mensaje a Zuckerberg, según una respuesta a un usuario que lo cuestionó sobre el tema.
“Sí, tengo algunas ofertas pero no un trabajo”, indicó Shreateh en el muro de Ahmed Jaber.
En el sitio Hacker News, un miembro del equipo de seguridad de Facebook, Matt Jones, escribió que la barrera de lenguaje con Shreateh, cuyo idioma materno no es el inglés, y el volumen de informes que el sitio recibe, fueron en parte causa de la respuesta tan lenta del sitio.
"Desafortunadamente, lo único que envió fue un vínculo a la publicación que ya había hecho (en una cuenta real, de la que no tenía autorización)... diciendo que "el bug le permite a usuarios de Facebook compartir vínculos con otros usuarios", indicó Jones.
"Por contexto, como ya otros han comentado, recibimos cientos de informes todos los días. Muchos de nuestros mejores informes vienen de personas cuyo inglés no es el mejor; aunque esto puede representar un reto, es algo que hemos solucionado muy bien, y le hemos pagado más de 1 millón (de dólares) a cientos de informantes".
Debido a que violó los términos y condiciones de uso al hackear las páginas de otros usuarios, Shreateh no califica para recibir una recompensa, bajo el programa White Hat del sitio, diseñado para encontrar y arreglar bugs.
Jones reconoció que el equipo de seguridad debió haberle pedido a Shreateh que les diera más información.
"Debo admitir que apoyo a Facebook en este asunto", expresó en su blog el analista de seguridad, Graham Cluley. "Aunque estaba frustrado con la respuesta del equipo de seguridad de Facebook, Shreateh no actuó bien al usar el fallo para publicar un mensaje en el muro de Mark Zuckerberg".
Hubiera tenido mejores resultados si hubiera regresado al equipo de seguridad de Facebook con más evidencia y mayores explicaciones. En el caso de que esto no funcionara, hubiera llevado la información a un periodista de tecnología, para que él reportara la situación, dijo Cluley.