La red social más popular del mundo desestimó en varias ocasiones un agujero de seguridad que permitiría a los cibercriminales postear cualquier link en el muro de un usuario de Facebook, a pesar de no tenerlo entre sus contactos. Un hacker informó de este problema en varias ocasiones e incluso publicó un link en el muro de una de las compañeras de universidad de Mark Zuckerberg (fundador de la red social), pero las primeras respuestas de la compañía fueron ignorar al informático y responder negativamente a sus esfuerzos. Finalmente, la empresa anunció que había solucionado el error, aunque su actitud podría haber llevado a una situación mucho más grave en el caso de que se hubiera utilizado este conocimiento para llevar a cabo un ataque masivo de spam.
Es más probable que la red social recibe una gran cantidad de mensajes anunciando de vulnerabilidades cada día, y que solo en un pequeño porcentaje de estos casos estamos ante una amenaza real. Es lo que debieron pensar los ingenieros de seguridad de Facebook cuando un hacker palestino llamado Khalil Shreateh les envió un correo avisando de que había encontrado una vulnerabilidad grave en la red. La naturaleza de este agujero permitía al cibercriminal publicar contenido en el muro de otro usuario de la red, incluso en el caso de que no sea un amigo. El peligro estriba en incluir links con contenido malicioso y en la capacidad de realizar ataques masivos de spam a través de usuarios reconocidos con muchos contactos.
Para reforzar su advertencia, el experto en seguridad adjunto una imagen con contenido que había publicado en el muro de Sarah Goodin. Goodin es una de las amigas del instituto de Mark Zuckerberg y la primera mujer que tuvo un perfil dentro de la red social. La respuesta de los ingenieros de Facebook consistió en negar que se tratara de un error y anunciar que el enlace enviado por el hacker (con el post en el muro de Goodin) estaba roto. El motivo de que no se pudiera acceder a esta web es que esta usuaria tiene restringido la visualización de los posts a sus amigos.
Shreateh decidió entonces volver a enviar un segundo mensaje a la red social en el que reiteraba la necesidad de tomar medidas para solucionar esta vulnerabilidad. En este caso, el hacker publicó su advertencia directamente en el muro de Mark Zuckerberg (evidentemente, sin ser un contacto del fundador). Esta vez, sí que recibió una respuesta diferente por parte de la red, en la que se le pedía más detalles técnicos sobre el agujero que había descubierto. Además, la compañía desactivó temporalmente la cuenta de Facebook del experto de seguridad, seguramente por temor a que se produjera un ataque a gran escala. Tras unos días consiguieron cerrar este agujero y volvieron a activar la cuenta de Shreateh. Eso sí, el hacker no recibió un solo dólar por su descubrimiento (Facebook otorga remuneraciones a los expertos que informan a la compañía de agujeros en la red). El motivo: haber demostrado el peligro del agujero enviando contenido a usuarios sin su consentimiento.
Me parece injusto por parte de facebook que no le dieran nada a Khalil Shreateh, ahora si consigue otro agujero que va a estar diciendo.