Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...

Iniciado por wolfbcn, 24 Enero 2014, 02:45 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Facebook ha premiado al ingeniero informático e investigador de seguridad brasileño Reginaldo Silva con 33.500$ (25.000€) por encontrar y reportar una vulnerabilidad de ejecución remota de código. Estos agujeros de seguridad no son fáciles de encontrar hoy en día, así que ésta ha sido la mayor cantidad de dinero ofrecida por Facebook a un investigador de seguridad hasta el momento.

Según el investigador, todo empezó en septiembre de 2012, cuando encontró un error de Expansión de Entidad Externa XML (XXE) en el componente de Drupal que se encarga de OpenID. Dado que OpenID había sido utilizado por muchos servicios, Silva comenzó a realizar pruebas para ver cuáles habían sido afectados.

Al principio, pensó que Facebook no era vulnerable, hasta un día en noviembre de 2013 cuando estaba probando la funcionalidad "Olvidaste tu contraseña" del servicio de comunicación social.

Él descubrió que la vulnerabilidad XXE que había identificado un año antes estaba afectando a facebook.com/openid/receiver.php. Reportó inmediatamente sus hallazgos a Facebook y la empresa implementó una solución provisional menos de cuatro horas después de que Silva presentara su primer informe.

Los agujeros de seguridad XXE son graves, ya que pueden ser explotados para leer archivos arbitrarios en un servidor web impactado. Sin embargo, Silva sospechó que podría llevar las cosas aún más lejos y explotar el fallo para ejecución remota de código.

Pero teniendo en cuenta que Facebook ya había implementado una solución, no pudo probar su teoría. De todas formas, el investigador escribió de nuevo al equipo de seguridad de Facebook para explicarle cómo habría escalado el fallo a una vulnerabilidad de ejecución remota de código.

Después de analizar su informe, Facebook determinó que su teoría de ataque era correcta y que realmente era un problema de ejecución remota de código. Por eso, Silva ha sido recompensado con 33.500$ (25.000€) por su trabajo.

"Sabíamos que queríamos pagar mucho debido a la gravedad de la vulnerabilidad, así que decidimos hacer un promedio de las recomendaciones de un grupo de administradores de nuestro programa. Como siempre, nuestros pagos están diseñados para recompensar el trabajo duro de los investigadores que están dispuestos a hacer lo correcto y reportar los errores a los proveedores afectados", explicó Facebook.

http://news.softpedia.es/Facebook-recompensa-a-un-experto-con-33-500-25-000-por-encontrar-un-fallo-de-ejecucion-remota-de-codigo-419851.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.


Vaagish


rdzlcs

Cita de: Vaagish en 24 Enero 2014, 05:30 AM
Eso demuestra que el hacking ético sigue en pie!!  ;-)

De eso se trata el hacking, de descubrir cosas que otros ojos no ven, y si llega a servir para ayudar a que el mundo sea mejor, bienvenido sea.
Grande por este genio Sur Americano que hizo bien las cosas!






SALudos
Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.

Vaagish

Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error!  :silbar:

Saludos!

crazykenny

Cita de: Vaagish en 24 Enero 2014, 18:06 PM
Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error!  :silbar:

Saludos!


Exacto, aunque, bueno, creo que tambien es cierto que, bueno, a veces puede resultar molesto para las empresas que alguien que no conoce pueda estar, digamos, comprobando la seguridad de estas (entre otras cosas, y, por decirlo de alguna manera), aunque, bueno, tambien pienso que no es algo incorrecto el mero hecho de curiosear ciertas cosas, y, de paso, informar a alguien de ciertos agujeros de seguridad que puedan estar dentro de un sistema (entre otras cosas), no se, vamos, creo yo.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

rdzlcs

No se conforman con un GRACIAS MUY ATENTO? Si partimos de la base que nadie nos pidió que investigáramos dicho sitio, osea la gente a veces espera mas de lo que realmente merece, por eso no hay que esperar nada, adamas le dio una moneda si comparamos lo gigante que es facebook, y la vulnerabilidad que encontró!








SALudos
Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.

Vaagish

Ha,, si.. estoy de acuerdo con eso.. Un reconocimiento no esta nada mal,, y bue,, 25.000 euros tampoco :p

Saludos!

xxxposeidonxxx

Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!

Wickown

Cita de: xxxposeidonxxx en 25 Enero 2014, 00:31 AM
Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!
Exacto, pero bueno me satisface pensar que hay personas así en este mundillo del hacking con lógica y razonamiento.