El jefe de seguridad de Facebook, Ryan McGeehan, en un intento de tapar las preocupaciones de los usuarios, pone el dinero por delante: "Si realmente existe un fallo de un millon de dólares, pagaremos por ello." Pero existen, y los pagos no llegan. En septiembre de 2013, ante el desafio, el informático brasileño Reginaldo Sila encontró una manera de robar los nombres de usuario y password a través del sistema que nos permite utilizar los mismos credenciales con servicios diferentes, y informó a la empresa. Una vez informados lo arreglaron en tres horas, y le pagaron 35.000 dólares. Los expertos dicen que es poco por lo que el fallo pudiera representar en confianza de usuarios. O en relación con su valor en el mercado negro.
http://www.policymic.com/articles/79879/a-hacker-found-a-massive-security-breach-in-facebook-here-s-how-much-fb-paid-him-for-finding-it
Parece que en FB van guardando paquetes de dinero a la espera de que aparecen muchos fallos de este tipo: un millón daría por pagar 25 personas como Silva en tantos casos diferentes. O quizás, siendo de otro país que no es los EEUU, no pagan tanto: el principio de dumping aplicado al valor del trabajo hacker caballeroso.
Quién difundió la entrada de Shreateh en el muro de Zuckerbert fue Snowden
Ocurrió algo parecido en el verano de 2013 con un fallo aún más importante, descubierto por un informático palestino. Durante bastante tiempo el equipo de seguridad de FB le ignoró (ahora dicen que era por el tema del lenguaje, cuando los palestinos, y aún más si son informáticos, hablan correctamente el inglés). Así que colgó un mensaje como si fuera el mismo Zuckerberg en su muro: "First, sorry for breaking your privacy and post(ing) to your wall," escribió Khalil Shreateh. "I (have) no other choice to make after all the reports I sent to (the) Facebook team."
Pero porqué violo las condiciones de servicio, FB decidió no pagarle nada, y como excusa añadieron que ya reciban cientos de mensajes diarios y han pagado un millón de dólares en premios. Eso nos pondría a cantidades pagadas por detalles sobre fallos de seguridad mucho menores. ¿Realmente vale tan poco esta información para la empresa?
http://edition.cnn.com/2013/08/19/tech/social-media/zuckerberg-facebook-hack/
El tema es que Facebook, hasta el año pasado, no era seguro: era posible entrar la misma cuenta de Mark Zuckerberg, y su propio equipo no era capaz de dar crédito a la información perteneciente. Que una empresa tiene la reputación por pagar tan poco por seguridad acaba siendo un aliciente para que informáticos alrededor del mundo vendan sus descubrimientos a terceros para cantidades mayores, sin preocuparse por el uso que se hará de tal información una vez en manos menos benévolas.
No hay comentarios:
Publicar un comentario