/Mendocino encuentra vulnerabilidad en Facebook

Mendocino encuentra vulnerabilidad en Facebook

Fabián Cucchietti, hacker cazarrecompensas de la provincia, encontró y reportó una vulnerabilidad en la red de Zuckerberg.

Hace un tiempito dedicamos algunos días a charlar con Fabian Cucchietti, hacker mendocino que nos produce ciertas contradicciones. Fabián trabaja en beneficio de las grande corporaciones como Micro$oft, Facebook y Google. Su trabajo es vulnerar estos espacios, algo que nos divertiría a todos/as, pero con la diferencia de que lo hace con permiso de las corporaciones y con el objetivo de beneficiarlas.

 

Por otro lado nos dijo algo muy cierto: millones de personas usan servicios de Google, Facebook, Yahoo! y Micro$oft, por lo que colaborar con esos sistemas es ayudar a millones de personas. Fabián es un White Hat, un hacker que se dedica a trabajar para el sistema, y eso es lo que nos produce cierta contradicción. Es un tipo amable, serio, interesante, que trabaja mucho, y la verdad da gusto hablar de él, aunque sea un White Hat.

 

Recientemente este hacker mendocino encontró un error en el sitio central de Facebook que permite inyectar código HTML.

 

¿Qué es una inyección de código?

 

Bueno, hablando mal y pronto podemos decir que se trata de un error de programación y en consecuencia un agujero de seguridad, que nos permite extraer información o engañar a un usuario para lograr que tenga una determinada conducta, así como también para introducir (de ahí lo de inyectar) código dentro de un programa y alterar su funcionamiento en nuestro favor.

 

 

Fabian Cucchietti

 

Fabián nos envió un vídeo demostrativo de cómo funciona el ataque en cuya presentación destaca que podría utilizarse “en combinación con algún tipo de ingenieria social para engañar a los usuarios y así insertar sus credenciales en un formulario de acceso falso que volverá a dirigir a los usuarios a una página que captura las cookies y las credenciales”, esto, dicho más simple, puede permitirnos obtener, entre muchísimas otras cosas, una importante cantidad de contraseñas.

 

El código utilizado por Cucchietti en el vídeo, es el que sigue:

 

<xht:acronym style=”font:1604% serif;  -moz-binding:url(#xbl_10); font-family:roman;”>HTML CODE INJECTION VULNERABILITY <a href=”http://www.google.com.ar/”>http://www.PHISHING.com/ </xht:acronym>

 

Tal vez te parezca que está escrito en chino, pero es algo verdaderamente simple. Esta inyección de código permite por ejemplo engañar a una persona para que crea que está ingresando en un determinado sitio y hacerla llegar a o pasar por uno que sí controlemos nosotros. Mirala en funcionamiento:

 

 

El maipucino por adopción, nos comentó que si bien la vulnerabilidad fue reportada, aun no ha sido corregida a lo que agregó que le “pareció una vulnerabilidad muy interesante, ya que es permanente y en el main-site”.

 

Fabián aguarda la llegada de su tarjeta White Hat, una tarjeta de débito con que la red antisocial de Zuckerberg recompensa a quienes reportan vulnerabilidades.

 

La tarjeta, según cuentan, permite acumular distintas cantidades de dinero, dependiendo de lo que Facebook pague. La red de Zuckerberg no es conocida por pagar grandes recompensas, que van desde los 500 a los 5000 dólares.

 

 

 

Ojalá, en algún momento, Fabian abandone el terreno de los White Hats y se pase al del hacktivismo, mientras tanto, lo felicitamos por sus logros, aunque, insistimos, nos encantaría que destinara su inteligencia y capacidad en beneficiar a la sociedad directamente.

 

¡Happy Hacking!