Facebook responde al investigador que ha hackeado Instagram. El jefe de seguridad de Facebook responde a las críticas de la industria. El jefe de seguridad de Facebook, Alex Stamos, ha respondido a las acusaciones de estar “jugando sucio” y de tratar de intimidar a un investigador de seguridad durante un escándalo reciente en el que un informe de bugs mostraba un problema de seguridad en Instagram. Hace dos días, Wesley Wineberg publicó ante Facebook las pruebas de haber encontrado un bug muy grave dentro de la arquitectura de Instagram. Wesley Wineberg afirma haber encontrado una cadena de vulnerabilidades que le permite obtener acceso total a todo Instagram, pero en vez de recibir una recompensa del programa de recompensas por bugs de Facebook, el investigador fue tratado con desconfianza e ignorado. Durante el incidente, Wineberg dijo que Stamos llegó tan lejos como para llamar a su jefe y amenazarlos a ambos, intimidando así tanto a la compañía como al investigador, para que no mostrasen el bug. Como podéis imaginar, la comunidad de investigación de seguridad reaccionó terriblemente mal ante este movimiento de Facebook, así que su jefe de seguridad publicó ayer un post para aclarar las cosas.
Los trabajadores de Facebook entraron en pánico cuando Wineberg descargó datos privados de Instagram
Los trabajadores de Facebook entraron en pánico cuando Wineberg descargó datos privados de InstagramSegún Stamos, Facebook dijo que toda la historia gira en torno a que a Wineberg no le gustó la suma que Facebook estaba dispuesta a pagar, que era de 2.500 dólares, unos 2.300 euros. Esto se debía también en parte a que el bug inicial que descubrió era un duplicado, es decir, que ya había sido encontrado por otro investigador, que les había dado el informe antes. Adicionalmente, la comunicación entre las dos partes parece haber ido cada vez más a peor después de que Wineberg, intentando demostrar las inmensas capacidades del bug, decidiese descargar datos de los servidores de Instagram. Esto puso al equipo de seguridad de Facebook en código rojo, pensando que el investigador quería vender los datos en el mercado negro.
El mismo Stamos ha reconocido que llamó al jefe de Wineberg, buscando una parte objetiva, antes de que todo este asunto se fuera completamente de su control, por las grandes implicaciones que eso podría conllevar, como que por ejemplo Wineberg usase los datos descargados para su propio beneficio, o que entrase en la ecuación el departamento legal de Facebook. Como la mayoría de escándalos que tienen que ver con bugs, al final todo se reduce a que no hay un tercero que ponga un precio estipulado para las recompensas por investigaciones de bugs, por lo que la recompensa al final la elige la compañía afectada.
