domingo, agosto 18, 2013

In your Face...book: Investigador explota un No-Bug de Facebook en el wall de Mark Zuckerberg en Facebook

Hoy os iba a hablar de otra cosa, pero como hay más días que longanizas lo dejaré para otro, ya que mis amigos de Cyberhades - autores del libro que cuentan anécdotas de la historia de la informática y el hacking - han publicado esta mañana una historia que me ha llamado mucho la atención. El uso de un No-bug, par lanzar un No-exploit, y hacer un No-hack a la cuenta de Mark Zuckerberg en Facebook.

La historia parece comenzar con el reporte de un bug en Facebook que permitiría a cualquier usuario de Facebook publicar en el muro de cualquier otro usuario en Facebook. Publicar en el muro de otra persona es una característica que Facebook tiene desde los principios, pero que muchos usuarios tienen (tengo) desactivado para evitar abusos, ya que esto se podría usar para distribuir malware, hacer spam, acosar a gente, etcétera. 

Figura 1: Transcripción del correo al equipo de Facebook reportando el bug

El investigador Palestino lo reportó al equipo de Facebook como se puede ver en este mensaje publicado en Pastebin. Pero desde Facebook le dijeron que esto no era un bug y que por tanto no podría acceder a la recompensa que se entrega a los que reportan vulnerabilidades, tal y como se puede ver en la imagen siguiente.

Figura 2: Esto es un No-Bug

Así que como era un No-Bug, decidió usarlo para publicar en el muro de Mark Zuckerberg donde le dejó este bonito mensaje haciendo uso del No-exploit, donde le explicaba toda la situación y lo que podía hacer con él.

Figura 2: El mensaje en el Wall de Mark Zuckerberg

Y algo debió pasar, pues el equipo de seguridad reconoció al final que el No-bug tal vez era un bug, ya que el No-exploit podría haber supuesto un cabreo para que el que lo sufrió.

Figura 4: El mensaje con toda la historia publicado en el wall de Mark

Lo más gracioso es que una vez que el No-Bug mutó a Bug, resulta que el No-hack pasaba a ser un Hack y a incumplir la política de seguridad de Facebook y por tanto dejaba al investigador de seguridad sin derecho a su recompensa. En el vídeo más información.

Figura 5: El vídeo con la explicación del bug

Al final, esto, con recompensa birlada o sin ella, ha sido un In Your Face...Book que merece un Pwnnie Award el año que viene en la BlackHat al Epic 0wnage o al Epic FAIL o al Lamest Vendor Response.

Saludos Malignos! 

3 comentarios:

  1. Troll Face, realmente muy bueno lo que hizo jajaja ya lo arreglaron, los campos que había que modificar eran: "clp" y "xhpc_targetid" :D

    ResponderEliminar
  2. Me ha encantado ese trollface y más a Zuck jiji.
    A todo esto, por eso cambiaron el aspecto de los perfiles ¿no? jeje ya me olía algo raro. Claro está no me imaginaba eso.

    ResponderEliminar
  3. Al menos hubo screencaps y una explicacion.

    Una pena que se la hayan jugado mal... Por eso no dejan de existir gente malintencionada, precisamente porque las buenas intenciones nunca son recompensadas.

    ResponderEliminar