- Meta soluciona un fallo de seguridad encontrado en la plataforma publicitaria de Facebook
- El investigador que descubrió el defecto ganó una recompensa de 100.000 dólares
- La falla permitió al investigador apoderarse efectivamente del servidor de Facebook
Meta ha otorgado al investigador de ciberseguridad Ben Sadegipour una recompensa por error de 100.000 dólares después de que descubrió una vulnerabilidad de seguridad en la plataforma publicitaria de Facebook en octubre de 2024.
La falla permitió a Sadgipour ejecutar comandos en el servidor interno de Facebook que albergaba la plataforma, dándole control del servidor.
Según Sadeghipour, el error sin parchear le permitió secuestrar el servidor usando un navegador Chrome sin cabeza, que es una versión del navegador que los usuarios ejecutan desde la consola de una computadora, para interactuar directamente con los servidores internos de Facebook.
Parte de un estudio más amplio
La falla en la plataforma estaba conectada a un servidor que Facebook usaba para crear y publicar anuncios, que estaba expuesto a una falla previamente reparada encontrada en el navegador Chrome, que Facebook usa para su sistema de anuncios.
sadagipur dijo TechCrunch Las plataformas de publicidad online son objetivos atractivos porque “están sucediendo muchas cosas en el trasfondo de la creación de estos ‘anuncios’, ya sean vídeos, textos o imágenes”.
“Pero en el centro de todo hay un montón de datos procesados en el lado del servidor y eso abre la puerta a muchas vulnerabilidades”, dijo Sadeghipour.
El investigador confirma que no probó todo lo que había dentro del servidor, aunque “lo que lo hace peligroso es que probablemente formaba parte de una infraestructura interna”.
Después de informar la vulnerabilidad a Meta, el error tardó sólo una hora en solucionarse, dijo Sadeghipour, señalando que su descubrimiento era parte de “una investigación en curso sobre una aplicación específica con un objetivo específico”. Este defecto en particular le llevó algunas horas detectarlo, pero Meta trabajó con él para solucionarlo rápidamente y le ofreció una recompensa que “superó con creces” las expectativas, confirmó en publicación en LinkedIn.
La recompensa por errores ha ido en aumento recientemente, y Google aumentó drásticamente sus recompensas para los investigadores que participan en el programa, lo que hace que la investigación de seguridad sea más lucrativa.
