Un hacker de origen egipcio, Mohamed Ramadán, detectó una peligrosa falla en la red social Facebook con la cual podría vulnerarse la seguridad de los usuarios con tan solo abrir un documento de Word.

El hallazgo es parte de una investigación que llevaba Ramadán como “hacker ético”, para determinar debilidades en Facebook, especialmente en sus aplicaciones para Windows, iOS y Android.

El error se produce en la página Careers at Facebook, que funciona como un buscador de empleo dentro de la compañía de Albuquerque y en la que cualquiera puede subir su currículum vítae, en formato .pdf o .docx.

Según informa Panda Security en su blog, los archivos .docx son un fichero comprimido cuya información puede modificarse al descomprimirlos. Aprovechando esta característica, Ramadán tomó un documento al azar y lo descomprimió usando la herramienta 7zip, cambió una línea de código y obligó al archivo a comunicarse siempre con un fichero gemelo alojado en su ordenador.

Adicionalmente, comprobó si era factible lograr algún resultado subiendo el mismo documento a un servidor diferente al de Facebook, antes de hacer la prueba de fuego y efectivamente sucedió. El servidor externo intentaba comunicarse con su ordenador y así lo haría también el de la red social.

Al efectuar el procedimiento, el hacker no solo fue capaz de tener acceso a cualquier persona que hubiera subido su resumen curricular a “Careers at Facebook“, sino también a la información de sus cuentas en la red social y hasta de los ordenadores que usa.

“Forcé a los servidores de Facebook a conectarse con mi ordenador utilizando simplemente una hoja de Word”, dijo Ramadán.

Con tal descubrimiento, quedó expuesta la información de cualquier empresa cuyos empleados utilizaran Facebook en horas de trabajo desde los ordenadores de sus empresas. Afortunadamente, quien dio con esta vulnerabilidad del sistema fue el investigador egipcio y advirtió públicamente sobre los riesgos. La hazaña le valió una recompensa de 5300 euros de parte de Facebook, cuyas medidas de seguridad parecen ser más débiles de que lo que se ha dicho en otras oportunidades.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.