Un chico de 22 años descubre cómo hackear cualquier cuenta de FacebookAnand Prakash es un hacker de 22 años que vive en una pequeña ciudad de la India a 250 kilómetros de Nueva Delhi. También es un cazador de recompensas que se dedica a encontrar fallos de seguridad en el software de grandes compañías. Hoy, Anand es conocido como el chico que pudo acceder a cualquier cuenta de Facebook.
Durante 72 horas, la seguridad de todos los usuarios de Facebook quedó expuesta en la versión beta de la red social, accesible a través de beta.facebook.com. Una grave vulnerabilidad permitía explotar el algoritmo de “¿Has olvidado tu contraseña?” con un ataque de fuerza bruta. Cuando reseteas tu contraseña, Facebook te envía un código de seis dígitos para confirmar que seas tú. Normalmente hay un límite de intentos que impide realizar ataques de fuerza bruta, pero esta vez permitía fallar infinitas veces.
Una vez que daba con el código correcto, Anand Prakash podía acceder a la cuenta de cualquier usuario y ver sus mensajes, sus fotos y cualquier otra información personal que tuviera almacenada en su perfil (incluso tarjetas de crédito). Lo demostró con este screencast de todo el proceso:
