De los cientos de miles de horas que los usuarios pasan en Facebook cada día, los vídeos de gatitos, caídas graciosas y trucos de magia cada vez representan una porción mayor en el tiempo que dedicamos a esta red social. Pero algo -o, mejor dicho, alguien- ha tenido en sus manos la posibilidad de tirar abajo prácticamente cualquier vídeo publicado en la red social.
Dan Melamed, un experto en seguridad informática que forma parte de la Universidad de Nueva York, ha descubierto prácticamente por casualidad que en Facebook existe una forma de tomar el control de cualquier vídeo publicado en la red social, independientemente de quién lo haya subido. Basta con retocar una porción de código y añadir un par de números; a partir de ese momento, es posible tener el control absoluto de cualquier vídeo subido por otra persona.
Melamed se dio cuenta de este fallo de seguridad de Facebook mientras él mismo estaba subiendo un vídeo a su página en la red social. En ese momento, mientras el vídeo se estaba enviando a los servidores de Facebook, nuestro protagonista se fijó en un llamativo fragmento de código que consiguió despertar su interés.
Lo que este experto en seguridad descubrió llevado por la curiosidad fue un fallo que podría haber supuesto el caos absoluto en la red social. Y lo peor del asunto es que no es la primera vez que pasa algo similar en Facebook, solamente que en esta ocasión el fallo pasa por un agujero de seguridad completamente diferente -más fácil todavía de llevar a cabo-.
Tal y como comprobó -y demostró en vídeo- Melamed utilizando a una víctima inventada, los vídeos de Facebook
tenían -por suerte podemos hablar de este tema en pasado- un fallo de
seguridad que permitía aprovechar la subida de un vídeo nuevo para suplantar la identidad de cualquier otro vídeo publicado en la red social.
Para
suplantar la autoría de cualquier vídeo de otra persona, bastaba con
interrumpir la subida de un vídeo nuevo para sustituir un fragmento de
código con el número que identifica el vídeo de nuestra víctima; a
partir de ese momento, toda la gestión del vídeo queda en manos del atacante.
El atacante podría desde bloquear todos los comentarios hasta borrar el
vídeo por completo, todo ello con la misma facilidad que si se tratara
de un vídeo subido desde su propia cuenta.
El fragmento código que
permitía aprovechar este agujero de seguridad tampoco era precisamente
difícil de entender: en la parte de composer_unpublished_photo[0]=<Video ID>,
un trozo del código que aparece mientras subimos un vídeo a la red
social, lo único que tuvo que hacer Melamed fue cambiar la palabra
"Video ID" por el ID del vídeo de su víctima.
Por suerte para todo el mundo, Facebook ya ha solucionado el fallo de seguridad que permitía borrar cualquier vídeo.
El bueno de Dan Melamed prefirió ponerse en contacto con la red social
antes que exprimir el fallo a su favor, y a cambio recibió la nada
despreciable suma de 10.000 dólares por parte del equipo de Mark
Zuckerberg.
El fallo de seguridad en cuestión fue reportado a
finales del mes de junio del pasado año 2016, y para mediados de julio
Facebook ya había puesto solución al problema. Puede que los de
Zuckerberg no sean todo lo transparentes que deberían en ciertas cuestiones, pero no se puede negar que suelen tomarse muy en serio la seguridad de la red social.