Facebook, al igual que otras grandes empresas, mantiene un programa de recompensas para aquellos que descubran y le comuniquen problemas de seguridad. Un joven ingeniero indio, Arul Kumar, acaba de ser uno de los afortunados tras encontrar un fallo que programación que permitía borrar cualquier fotografía de Facebook explotando el portal del panel de control de asistencia técnica (Support Dashboard). Este fallo de seguridad, que ya ha sido solucionado, funcionaba con todos los navegadores de cualquier versión. Mediante un sencillo procedimiento, era posible eliminar cualquier fotografía de cualquier usuario, página o grupo de esa red social, tanto las imágenes compartidas como las etiquetadas. Eso incluye las fotos dentro de los álbumes y las actualizaciones de estado, e incluso dentro de los comentarios o los posts sugeridos.
Esta vulnerabilidad crítica explotaba la versión móvil del portal que la red social dedica al panel de control de asistencia técnica, que está habilitado para que los usuarios puedan seguir la evolución de los informes que envían a los responsables del sitio, como aquellos que solicitan la retirada de determinadas fotos. Cuando Facebook no atiende esas solucitudes de borrado, el usuario todavía tiene la oportunidad de enviar directamente un mensaje a la persona que publicó la imagen pidiendo que la elimine. El ingeniero indio descubrió que era fácil modificar un par de parámetros dentro del mensaje: la identificación de la foto (photo_id) y el perfil de dueño (Owners Profile_id). Bastaba con cambiar esos dos parámetros dentro del mensaje recibido en una segunda cuenta para hacer desaparecer cualquier imagen de cualquier miembro de esa red social.
Al principio los responsables de seguridad de Facebook no fueron capaces de verificar la existencia de la vulnerabilidad. Por eso, Kumar les remitió un vídeo demostrativo donde explicaba cómo conseguía entrar en el álbum de fotos de Mark Zuckerberg, aunque sin borrar ninguna imagen. Una vez confirmado, le comunicaban que habían tapado el agujero y que era el ganador de una recompensa por un importe de 12.500 dólares (unos 9.500 euros).
No es la primera vez que Arul Kumar recibe una gratificación por descubrir un fallo de seguridad en esa red social. A mediados de agosto conseguía 1.500 dólares por hallar y comunicar una vulnerabilidad de Facebook que permitía redirigir a los usuarios a páginas web con malware y que afectaba a todos los navegadores. Este ingeniero indio ha visto remunerados sus esfuerzos, porque ha seguido las pautas que la red social establece para su programa de recompensas. Ha actuado como hacker ético siguiendo las normas de responsabilidad, sin destruir datos. En cambio, hace dos semanas otro joven, llamado Khalil Shereateh, pirateaba la biografía de Mark Zuckerberg para demostrar un problema de seguridad borrando fotos. Sin embargo, se quedó sin dinero por incumplir los requisitos y comprometer la integridad de los datos.
