Este ingeniero de seguridad explicó en su blog el método —paso a paso— y hasta dijo cuáles son las mejores herramientas para encontrar un password con el esfuerzo mínimo. Pero antes de que corras a probarlo tú mismo, debes saber que Anand es un hacker de sombrero blanco, así que se tomó la molestia de contactar a Facebook para avisarles del bug y hasta después de que quedó resuelto el error, publicó su extensa guía.
Curiosamente su buena voluntad no se quedó sin recompensa, ya que Facebook le dio $15,000 dólares, justo como es la costumbre con todos los que reportan algún bug. Y no es para menos, pues el método de hackeo de este individuo hubiera dejado expuesta la información privada —mensajes, fotos o hasta información de la tarjeta de crédito— de incontables usuarios.
De acuerdo con lo que dice Anand, la vulnerabilidad era muy grave, pues permitía brincarse el bloqueo del sistema de contraseñas. Al igual que casi todos los sitios con un buen nivel de seguridad, Facebook pone límite a las veces que puedes equivocarte al poner tu clave y si te pasas de ese número, la cuenta se bloquea. Esto detiene a los programas de hackeo que encuentran passwords de manera automática. El problema es que el sitio beta de Facebook (como beta.facebook.com) no tenía esa limitante, por lo que podía usarse fuerza bruta sin ninguna restricción.
Facebook todavía no confirma la existencia de este bug, pero no sería la primera vez que tiene vulnerabilidades tan graves. Hace un año se descubrió un error que permitía borrar fotos de otros usuarios, sin siquiera estar logueado.
