Facebook premia a un investigador de seguridad con 33.500 dólares

La red social de Mark Zuckerberg ha premiado a Reginaldo Silva, un investigador de seguridad brasileño, por descubrir una importante vulnerabilidad que permitía la ejecución remota de código en Facebook.

Tal y como comentó Silva lo primero que descubrió fue un error de Expansión de Entidad Externa XML (XXE) en el componente de Drupal que se ocupa de OpenID. Teniendo en mente que OpenID había sido utilizado en muchos servicios el investigador decidió empezar a hacer pruebas para ver qué servicios se habían visto afectados.

Estas primeras investigaciones no fueron fructíferas y llevaron a Silva a pensar que el citado error no había afectado a Facebook, hasta que un día utilizó la función «¿olvidaste tu contraseña?» y descubrió que la vulnerabilidad XXE que había identificado anteriormente sí estaba afectando a la red social, en concreto vía facebook.com/openid/receiver.php.

Como era de esperar Silva no dudó un momento e informó a Facebook de sus hallazgos, que le han servido para obtener un premio de nada menos que 33.500 dólares.

No podemos terminar sin hacer un interesante inciso, y es que a pesar de la suculenta recompensa que Facebook ha pagado a Silva para muchos la misma no ha sido justa, ya que el investigador brasileño podría haber ganado muchísimo más vendido sus hallazgos a otros postores.