Hace un año salió a la luz la existencia de un fallo de seguridad que permitía a cualquier persona eliminar tus fotos de Facebook con unos cuantos conocimientos técnicos, aunque nunca llegó la sangre al río porque la persona que lo descubrió avisó a la red social y evitó el desastre. Pues bien, ahora parece que sucede algo parecido con los vídeos.

El investigador de seguridad Dan Melamed halló una manera para eliminar cualquier vídeo y, en esta ocasión, el modus operandi era más sencillo. Avisar a la compañía del problema le ha supuesto 10.000 dólares de recompensa, mucho menos que los daños que podría haber generado que el truco se hubiera usado maliciosamente.

 

El método de Melamed consistía en interceptar un trozo de URL del código fuente de la página mientras se subía un vídeo a una página de Facebook creada por él, en la que aparecía un número (ID) del vídeo que estaba subiendo.

En mitad de su carga podría cambiar este parámetro y enviar un vídeo diferente a los servidores de Facebook, no con el objetivo de sustituir a uno ya existente, sino para tener el control de este último, a pesar de no ser el creador original. Esto suponía que podría cambiar la configuración para que los comentarios fueran deshabilitados o eliminar el archivo por completo.

El error era bastante simple, tan simple como para pasar desapercibido entre el enorme código de Facebook, aunque las recompensas generosas que ofrecen las compañías a hackers que ayudan a encontrar vulnerabilidades ayudan a “parchear” fallos de seguridad como éste, ya solucionado desde hace varios meses.

En su blog el investigador cuenta los diez pasos que realizó, por si tenéis curiosidad, aunque el equipo de seguridad de Facebook estuvo al quite en cuanto fue informado para solucionarlo.