Un investigador descubrió que Facebook contaba con una vulnerabilidad con la que podía hackear perfiles con tan sólo enviar un SMS.
Un investigador descubrió una forma muy sencilla de hackearte tu cuenta de Facebook con tan sólo enviarte un mensaje de texto. Este tipo de estafas se suelen realizar a través del envío de enlaces maliciosos que contienen troyanos, de keyloggers o phishing, sin embargo, él descubrió una nueva forma de robarte tu acceso.
Fin1te es el nombre de la firma para la que trabaja el investigador que hizo el hallazgo. Las personas suelen tener su número de teléfono vinculado a su cuenta de Facebook, por lo que reciben mensajes SMS si ha habido algún problema, pero la plataforma contaba con una vulnerabilidad en esta herramienta que le permitió apoderarse de la cuenta de otra persona.
¿Cómo funciona la estafa con la que te roban tu número de teléfono con sólo enviarte un mensaje SMS?
Cuando se enviaba un código de verificación a un número de teléfono, se generaba un archivo llamado /ajax/settings/mobile/confirm_phone.php.Contaba con dos parámetros, uno para el código de verificación y otro llamado profile_id que tiene registrado el número que está asociado a la cuenta.
Para poder hackearte, solamente se tenía que cambiar el valor del profile_id de la víctima. Se enviaba la letra F a 32665, el código abreviado de un SMS para Facebook en Reino Unido, luego se recibían 8 caracteres para hacer la verificación.
Luego sólo escribía el código de confirmación y se mandaba la forma. Una vez que se aceptaba el código, se ligaba el número del hacker al perfil de la víctima. Luego podía cambiar la contraseña para poder apoderarse de la cuenta.
El investigador informó a Facebook sobre este método, quien le pagó 20 mil dólares para agradecerle sobre su descubrimiento y procedió a eliminar el parámetro profile_id.