Autor
|
Tema: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo... (Leído 4,063 veces)
|
wolfbcn
|
Facebook ha premiado al ingeniero informático e investigador de seguridad brasileño Reginaldo Silva con 33.500$ (25.000€) por encontrar y reportar una vulnerabilidad de ejecución remota de código. Estos agujeros de seguridad no son fáciles de encontrar hoy en día, así que ésta ha sido la mayor cantidad de dinero ofrecida por Facebook a un investigador de seguridad hasta el momento. Según el investigador, todo empezó en septiembre de 2012, cuando encontró un error de Expansión de Entidad Externa XML (XXE) en el componente de Drupal que se encarga de OpenID. Dado que OpenID había sido utilizado por muchos servicios, Silva comenzó a realizar pruebas para ver cuáles habían sido afectados. Al principio, pensó que Facebook no era vulnerable, hasta un día en noviembre de 2013 cuando estaba probando la funcionalidad "Olvidaste tu contraseña" del servicio de comunicación social. Él descubrió que la vulnerabilidad XXE que había identificado un año antes estaba afectando a facebook.com/openid/receiver.php. Reportó inmediatamente sus hallazgos a Facebook y la empresa implementó una solución provisional menos de cuatro horas después de que Silva presentara su primer informe. Los agujeros de seguridad XXE son graves, ya que pueden ser explotados para leer archivos arbitrarios en un servidor web impactado. Sin embargo, Silva sospechó que podría llevar las cosas aún más lejos y explotar el fallo para ejecución remota de código. Pero teniendo en cuenta que Facebook ya había implementado una solución, no pudo probar su teoría. De todas formas, el investigador escribió de nuevo al equipo de seguridad de Facebook para explicarle cómo habría escalado el fallo a una vulnerabilidad de ejecución remota de código. Después de analizar su informe, Facebook determinó que su teoría de ataque era correcta y que realmente era un problema de ejecución remota de código. Por eso, Silva ha sido recompensado con 33.500$ (25.000€) por su trabajo. "Sabíamos que queríamos pagar mucho debido a la gravedad de la vulnerabilidad, así que decidimos hacer un promedio de las recomendaciones de un grupo de administradores de nuestro programa. Como siempre, nuestros pagos están diseñados para recompensar el trabajo duro de los investigadores que están dispuestos a hacer lo correcto y reportar los errores a los proveedores afectados", explicó Facebook. http://news.softpedia.es/Facebook-recompensa-a-un-experto-con-33-500-25-000-por-encontrar-un-fallo-de-ejecucion-remota-de-codigo-419851.html
|
|
|
En línea
|
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
|
|
|
dRak0
|
Jajaja , que grande el brazuka.
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Eso demuestra que el hacking ético sigue en pie!!
|
|
|
En línea
|
|
|
|
rdzlcs
Desconectado
Mensajes: 784
El cerebro, la experiencia y una pizca de suerte.
|
Eso demuestra que el hacking ético sigue en pie!! De eso se trata el hacking, de descubrir cosas que otros ojos no ven, y si llega a servir para ayudar a que el mundo sea mejor, bienvenido sea. Grande por este genio Sur Americano que hizo bien las cosas! SALudos
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error! Saludos!
|
|
|
En línea
|
|
|
|
crazykenny
|
Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error! Saludos! Exacto, aunque, bueno, creo que tambien es cierto que, bueno, a veces puede resultar molesto para las empresas que alguien que no conoce pueda estar, digamos, comprobando la seguridad de estas (entre otras cosas, y, por decirlo de alguna manera), aunque, bueno, tambien pienso que no es algo incorrecto el mero hecho de curiosear ciertas cosas, y, de paso, informar a alguien de ciertos agujeros de seguridad que puedan estar dentro de un sistema (entre otras cosas), no se, vamos, creo yo. Muchas gracias por vuestra atencion. Saludos.
|
|
|
En línea
|
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos. Se responsable, consecuente y da ejemplo. https://informaticayotrostemas.blogspot.com/Mi canal de Youtube: https://www.youtube.com
|
|
|
rdzlcs
Desconectado
Mensajes: 784
El cerebro, la experiencia y una pizca de suerte.
|
No se conforman con un GRACIAS MUY ATENTO? Si partimos de la base que nadie nos pidió que investigáramos dicho sitio, osea la gente a veces espera mas de lo que realmente merece, por eso no hay que esperar nada, adamas le dio una moneda si comparamos lo gigante que es facebook, y la vulnerabilidad que encontró!
SALudos
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Ha,, si.. estoy de acuerdo con eso.. Un reconocimiento no esta nada mal,, y bue,, 25.000 euros tampoco :p
Saludos!
|
|
|
En línea
|
|
|
|
xxxposeidonxxx
|
Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!
|
|
|
En línea
|
|
|
|
Wickown
Desconectado
Mensajes: 128
4y7s0
|
Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!
Exacto, pero bueno me satisface pensar que hay personas así en este mundillo del hacking con lógica y razonamiento.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Fallo en facebook
Nivel Web
|
tragantras
|
0
|
1,847
|
7 Mayo 2011, 16:35 pm
por tragantras
|
|
|
Fallo en facebook
Dudas Generales
|
RedZer
|
0
|
2,517
|
19 Septiembre 2011, 03:21 am
por RedZer
|
|
|
Encontrar origen de foto en Facebook
Dudas Generales
|
t36
|
2
|
5,851
|
5 Agosto 2012, 12:05 pm
por Puntoinfinito
|
|
|
Como encontrar un fallo SQLi o XSS en copias habbo
Nivel Web
|
extralionel
|
3
|
3,304
|
28 Agosto 2014, 18:49 pm
por engel lex
|
|
|
Como encontrar un fallo SQLi o XSS en copias habbo
Hacking
|
extralionel
|
0
|
2,164
|
28 Agosto 2014, 13:12 pm
por extralionel
|
|