robo cuentas facebookUn investigador de seguridad informática, Jack Whitton, descubrió una vulnerabilidad crítica que permitía tomar el control total de una cuenta deFacebook.

Ante la noticia, la red social se apresuró a corregir el agujero. Whitton reportó el fallo explicando que se podía subir una imagen PNG modificada para que los servidores la reconociesen como una imagen real.

Así, una vez al llegar a ellos se convertía en un archivo HTML dando acceso a una web modificada desde dentro.

Una vez logrado esto, el investigador logró subir la página a través de un “iframe“, un elemento que permite colocar un HTML dentro del HTML principal.

Así, accedió a las “cookies” del usuario, lo que le permitió acceso completo a otras cuentas.

El reporte de Whitton fue recompensado con 7.500 dólares del programa Bug Bounty, ya que, al haber dado la oportunidad a la red social de corregir el error con rapidez (aproximadamente dos horas), también evitó que el agujero de seguridad fuese utilizado por ciberdelincuentes que podrían haber distribuido un gusano en Facebook, comprometiendo la información de miles de personas.

FUENTE