La entrada Por qué no conviene ignorar a los hackers cuando avisan de fallos de seguridad Aparece en Rpaladin.
Un hacker avisó a Facebook de un fallo de seguridad que permitía publicar mensajes en cualquier muro. La compañía ignoró al investigador, que decidió hacerse oír. Por desgracia, parece una tendencia cada vez más común.
?halil Shreateh es un investigador palestino que descubrió un fallo de seguridad en Facebook que permitía a cualquier persona publicar mensajes en el muro de otro usuario, incluso sin ser amigos. Shreateh avisó a la compañía, pero fue ignorado, así que se hizo escuchar de la forma más visible posible: escribió un mensaje en el muro de Mark Zuckerberg. Funcionó.
Cada vez es más común que investigadores externos traten de avisar a las compañías de los fallos que descubren, pero, por desgracia, también parece que en muchos casos son ignorados. Esto es comprensible hasta cierto punto —hay que examinar muchos avisos y muchas veces de gente que no se expresa bien en inglés—, pero hace que estos hackers se sientan ignorados y ninguneados. En ocasiones esta frustración hace que se publiquen las vulnerabilidades para hacer reaccionar a las empresas. Y también es comprensible.
Las consecuencias pueden ser muy negativas si la filtración no se hace con cuidado. Revelar demasiada información puede hacer que otra persona se aproveche del fallo antes de que la firma pueda tomar medidas. Y, en el mejor de los casos, suele suponer la caída del servicio hasta que se soluciona el problema.
Es cierto que este trabajo no siempre es altruista —la mayoría de las empresas tienen programas de recompensas para quienes encuentran fallos—, pero no por ello deja de ser trabajo; y, como tal, debería ser recompensado. Por otro lado, parece lógico dedicar tiempo a explorar las vulnerabilidades que supuestamente han sido descubiertas.
En esta ocasión el fallo de seguridad en Facebook no era muy grande. De hecho, la segunda vez que Shreateh se puso en contacto con la red social, la respuesta que recibió de la compañía fue que su descubrimiento no era un fallo (al fin y al cabo, aunque puede escribir cualquier, sólo los contactos podrán ver la entrada). Pero el investigador discrepaba, así que se lo hizo saber al CEO.
Después de escribir en el muro de Mark Zuckerberg, Ola Okelola, un ingeniero de Facebook se puso en contacto con el hacker. Su cuenta fue desactivada temporalmente, aunque no como castigo, sino como medida preventiva para evitar que alguien le ofreciese dinero por su descubrimiento mientras se investigaba el fallo. Eso sí, su empresa tampoco recompensó a ?halil, a pesar de tener un programa dedicado precisamente a esto. El motivo, haberse aprovechado de cuentas de terceros sin su consentimiento para reproducir el error. Porque, al parecer, publicar en el muro de Mark Zuckerberg no está bien visto.
Esto sienta un precedente que podría resultar peligroso. Si la comunidad siente que no va a haber una recompensa por su trabajo, puede buscar otras formas de monetizarlo. O, sencillamente, dejar de hacerlo si cree que no va a poder ayudar. Pero, además, este tipo de acciones puede animar a otros investigadores más interesados en conseguir notoriedad y con menos respeto por la seguridad de los usuarios o la plataforma. La anécdota es que se mancilló el muro de ‘Zuck’, pero la noticia es que no se escucha a quien trata de ayudar. Y es una mala noticia.
La entrada Por qué no conviene ignorar a los hackers cuando avisan de fallos de seguridad aparece primero en Marketing digital.
La entrada Por qué no conviene ignorar a los hackers cuando avisan de fallos de seguridad Aparece en Rpaladin.
Por qué no conviene ignorar a los hackers cuando avisan de fallos de seguridad
0 comentarios:
Publicar un comentario