Foro de elhacker.net

Foros Generales => Noticias => Mensaje iniciado por: wolfbcn en 24 Enero 2014, 02:45 am



Título: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: wolfbcn en 24 Enero 2014, 02:45 am
Facebook ha premiado al ingeniero informático e investigador de seguridad brasileño Reginaldo Silva con 33.500$ (25.000€) por encontrar y reportar una vulnerabilidad de ejecución remota de código. Estos agujeros de seguridad no son fáciles de encontrar hoy en día, así que ésta ha sido la mayor cantidad de dinero ofrecida por Facebook a un investigador de seguridad hasta el momento.

Según el investigador, todo empezó en septiembre de 2012, cuando encontró un error de Expansión de Entidad Externa XML (XXE) en el componente de Drupal que se encarga de OpenID. Dado que OpenID había sido utilizado por muchos servicios, Silva comenzó a realizar pruebas para ver cuáles habían sido afectados.

Al principio, pensó que Facebook no era vulnerable, hasta un día en noviembre de 2013 cuando estaba probando la funcionalidad "Olvidaste tu contraseña" del servicio de comunicación social.

Él descubrió que la vulnerabilidad XXE que había identificado un año antes estaba afectando a facebook.com/openid/receiver.php. Reportó inmediatamente sus hallazgos a Facebook y la empresa implementó una solución provisional menos de cuatro horas después de que Silva presentara su primer informe.

Los agujeros de seguridad XXE son graves, ya que pueden ser explotados para leer archivos arbitrarios en un servidor web impactado. Sin embargo, Silva sospechó que podría llevar las cosas aún más lejos y explotar el fallo para ejecución remota de código.

Pero teniendo en cuenta que Facebook ya había implementado una solución, no pudo probar su teoría. De todas formas, el investigador escribió de nuevo al equipo de seguridad de Facebook para explicarle cómo habría escalado el fallo a una vulnerabilidad de ejecución remota de código.

Después de analizar su informe, Facebook determinó que su teoría de ataque era correcta y que realmente era un problema de ejecución remota de código. Por eso, Silva ha sido recompensado con 33.500$ (25.000€) por su trabajo.

"Sabíamos que queríamos pagar mucho debido a la gravedad de la vulnerabilidad, así que decidimos hacer un promedio de las recomendaciones de un grupo de administradores de nuestro programa. Como siempre, nuestros pagos están diseñados para recompensar el trabajo duro de los investigadores que están dispuestos a hacer lo correcto y reportar los errores a los proveedores afectados", explicó Facebook.

http://news.softpedia.es/Facebook-recompensa-a-un-experto-con-33-500-25-000-por-encontrar-un-fallo-de-ejecucion-remota-de-codigo-419851.html


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: dRak0 en 24 Enero 2014, 05:02 am
Jajaja , que grande el brazuka.


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: Vaagish en 24 Enero 2014, 05:30 am
Eso demuestra que el hacking ético sigue en pie!!  ;-)


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: rdzlcs en 24 Enero 2014, 08:59 am
Eso demuestra que el hacking ético sigue en pie!!  ;-)

De eso se trata el hacking, de descubrir cosas que otros ojos no ven, y si llega a servir para ayudar a que el mundo sea mejor, bienvenido sea.
Grande por este genio Sur Americano que hizo bien las cosas!






SALudos


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: Vaagish en 24 Enero 2014, 18:06 pm
Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error!  :silbar:

Saludos!


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: crazykenny en 24 Enero 2014, 19:41 pm
Si, el problema es cuando uno hace las cosas bien y no lo recompensan.. ya a pasado que empresas toman otras medidas cuando un hacker descubre un agujero de seguridad.. por lo menos como minimo las grandes empresas deberian darle el credito a la persona que encuentra el error!  :silbar:

Saludos!


Exacto, aunque, bueno, creo que tambien es cierto que, bueno, a veces puede resultar molesto para las empresas que alguien que no conoce pueda estar, digamos, comprobando la seguridad de estas (entre otras cosas, y, por decirlo de alguna manera), aunque, bueno, tambien pienso que no es algo incorrecto el mero hecho de curiosear ciertas cosas, y, de paso, informar a alguien de ciertos agujeros de seguridad que puedan estar dentro de un sistema (entre otras cosas), no se, vamos, creo yo.
Muchas gracias por vuestra atencion.
Saludos.


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: rdzlcs en 24 Enero 2014, 19:56 pm
No se conforman con un GRACIAS MUY ATENTO? Si partimos de la base que nadie nos pidió que investigáramos dicho sitio, osea la gente a veces espera mas de lo que realmente merece, por eso no hay que esperar nada, adamas le dio una moneda si comparamos lo gigante que es facebook, y la vulnerabilidad que encontró!








SALudos


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: Vaagish en 24 Enero 2014, 23:05 pm
Ha,, si.. estoy de acuerdo con eso.. Un reconocimiento no esta nada mal,, y bue,, 25.000 euros tampoco :p

Saludos!


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: xxxposeidonxxx en 25 Enero 2014, 00:31 am
Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!


Título: Re: Facebook recompensa a un experto con 33.500$ (25.000€) por encontrar un fallo...
Publicado por: Wickown en 25 Enero 2014, 00:37 am
Que poco le dieron para el fallo que encontró, porque podría haberlo vendido por mucho mas!
Exacto, pero bueno me satisface pensar que hay personas así en este mundillo del hacking con lógica y razonamiento.