¿Alguna vez te has preguntado cómo se podría entrar forzosamente a una cuenta de Instagram o de Facebook? Puede que requiera de más que inteligencia, buena conexión y una gran computadora, cosas de las que la mayoría de los usuarios de la web carecen pero sin dudas, algo que alguien pudo lograr.
Aún cuando esto se haga con fines investigativos y muy buenas intenciones, digamos, que al detectar la falla, pueda ser reportada, implica un gran lío para el que se avoque a encontrarla.
Un investigador independiente, especialista en seguridad web asegura que se vio amenazado en Facebook, luego de que muy responsablemente develara una serie de vulnerabilidades en la seguridad y la configuración del mencionado sitio web, que le permitieron ganar acceso a información delicada que se almacena en los servidores de Instagram, entre la que se incluye:
- Código fuente del sitio web de Instagram
- Certificados SSL y contraseñas para Instagram
- Llaves utilizadas en el proceso de autenticación de cookies
- Detalles personales de usuarios y empleados de Instagram
- Credenciales de correo electrónico de los servidores
- Llaves para más de media docena de otras funciones de suma importancia, del sitio web
Sin embargo, en vez de premiarlo de alguna manera, Facebook ha amenazado con demandar al investigador por retener la información acerca de las fallas a su equipo.
Wesley Weinberg, un investigador de altura, empleado en Synack, participó en un programa de caza de vulnerabilidades de Facebook, que lo llevó a analizar los sistemas de Instagram; pudo ubicar una potencial fuente de debilidades en un servidor de dirección sensu.instagram.com luego de que un colega se lo indicara.
El investigador entonces encuentra una vulnerabilidad de tipo RCE (Remote Code Execution, o Ejecución Remota de Código) en la manera en la que el servidor citado procesaba las cookies de sesión de usuario que normalmente se usan para ‘recordar’ los detalles de ingreso de los usuarios.
La ejecución de código remota fue posible gracias a dos debilidades puntuales:
- La aplicación web de administración Sensu, del servidor contenía un amuleto secreto Ruby de codificación densa.
- El host ejecutaba una versión de Ruby (3.x) que era susceptible a la procesión de código que se propiciaba por la cookie de la sesión de
Exacerbando la vulnerabilidad, Weinberg fue capaz de forzar al servidor a mostrar una extensa base de datos, en la que estaba contenidos detalles de datos de ingreso de usuarios y credenciales de empleados de Facebook e Instagram.