La red interna de Facebook pudo haber estado comprometida por ‘hackers’ maliciosos. Foto: Pixabay.com
Orange Tsai, un programador de Taiwán, decidió un día participar en un programa de recompensas de Facebook, que consistía en el pago de USD 10 000 a quien encuentre fallas en la programación de la red social. Lo que encontró sorprendió a todos en Facebook.
Tsai, quien trabaja para la compañía consultora informática DevCore, logró acceder a los servidores de corporativos Facebook. El problema es que cuando se puso a revisar la información, se dio cuenta de que otros hackers ya le habían ganado. Y ellos no estaban participando en el programa de recompensas.
Lo primero que hizo Tsai cuando logró acceder a los servidores fue hacer un inventario y mapa de las propiedades virtuales de Facebook , es decir, los servidores asignados a Facebook.com, InstaGram.com y los demás servicios que provee la compañía.
En el proceso encontró un servidor que le llamó la atención; tenía el nombre de ‘files.fb.com’, y alojaba una aplicación de transferencia de archivos segura creada por el proveedor de software empresarial Accellion. Facebook presumiblemente utilizaba esta aplicación para que los empleados de Facebook pudieran compartir archivos y colaborar en su trabajo de forma privada.
Tsai analizó la aplicación y encontró siete vulnerabilidades, incluyendo dos de ejecución remota de código, de las cuales informó a Accellion . Él utilizó estas vulnerabilidades para obtener acceso al servidor corporativo de Facebook y comenzó a recoger información de los registros de actividades de los servidores con el fin de preparar un informe para el equipo de seguridad de la empresa.
Fue entonces cuando vio a algunos errores poco comunes en el registro del servidor; siguiendo la pista de estos errores, descubiró una puerta trasera basada en programación PHP – también conocida como ‘Web shell’ – que previamente se había instalado en el servidor de por hackers maliciosos.
Esta ‘Web shell’ furtiva permitió a los piratas informáticos ejecutar comandos en el servidor y subir archivos sin ser detectados, pero lo más importante, secuestraron el proceso de autenticación de la aplicación de Accellion y grabaron las credenciales de los empleados de Facebook para acceder a los servidores.
“En el momento que descubrí estos registros, había alrededor de 300 credenciales registradas con fechas entre el 1 y el 7 de febrero, en su mayoría con dominio ‘@ fb.com’ y ‘@ facebook.com'”, dijo Tsai en un blog de DevCore. “Al ver esto pensé que era un incidente de seguridad muy serio”.
Tsai sospecha que las credenciales de los empleados de Facebook capturados también podrían funcionar para otros servidores corporativos de Facebook, tales como la aplicación web de Outlook o diferentes Redes Privadas Virtuales (VPN) de Facebook, pero no él trató de utilizarlas.
Un análisis más detallado de los registros del servidor reveló que los ‘hackers’ que se instalaron originalmente la puerta trasera descargaron las credenciales capturadas varias veces, y cada vez que lo hicieron eliminaron el archivo que las contenía para no dejar pruebas. Tsai también encontró evidencia de que los ‘hackers’ trataron de trazar un mapa de la red interna de Facebook.
“Hubo dos períodos que el sistema fue operado por el ‘hacker’, uno en el comienzo de julio y otro a mediados de septiembre”, dijo Tsai.
Finalmente, Tsai informó de todos sus hallazgos a Facebook, la red social le pagó los USD 10 000 del programa de recompensas y lanzó su propia investigación forense para encontrar a los ‘hackers’ de sus servidores.
#contenedor{margin: 0;padding:0;position:relative;height:33px;margin:0pxauto;}#logo{position:relative;padding:0px10px0px0px;float:right;height:auto;}