Un hacker ético en Bélgica afirma haber encontrado una falla de seguridad seria que permite a los atacantes descubrir los números de teléfono personales de los usuarios de Facebook, y amenaza con descubrir los detalles del exploit a menos que la red social esté de acuerdo en escucharle y parchear la vulnerabilidad. Inti De Ceukelaire, 21, es un desarrollador creativo para una televisión pública belga que también trabaja como hacker ético y cazador de bugs. Ha descubierto y reportado vulnerabilidades de seguridad desde los 16 años, y ha trabajado con Facebook para reportar fallas críticas desde 2013. También ha encontrado un total de 137 vulnerabilidades para la plataforma HackerOne, que trabaja con marcas importantes de la industria tecnológica.
De Ceukelaire ha descubierto que es posible descubrir el teléfono relacionado con una cuenta de Facebook en 30 o 45 minutos por cada cuenta, si el individuo viene de un país con una población como la de Bélgica, en la que los números de teléfono tienen 12 dígitos o menos.
Ha probado esto usando el exploit para descubrir números de teléfono de celebridades de perfil alto belgas, pero cuando informó a Facebook, la red social no se lo tomó en serio. Esto le preocupó, así que empezó a hablar con los medios belgas y con algunas de las celebridades afectadas para informar al público.
Pretende lanzar los detalles en un post de blog el 13 de febrero, en una apuesta para hacer que todo el mundo esté al tanto y convencer a la red social de tomárselo en serio.
«He estado trabajando con Facebook enviándoles bugs desde 2013, y a veces los aceptan y a veces no. No me importa si no aceptan bugs la mayor parte de las veces si tienen una buena razón, pero esta vez no estoy de acuerdo,» ha dicho De Ceukalaire.
«El argumento de Facebook es que los belgas pueden proteger su número de teléfono ajustando el «¿Quién puede buscarme?» solo para amigos, pero por defecto es público. Lo que yo digo es que no importa en qué país vivas, todo el mundo debería ser capaz de proteger su teléfono.»
El problema es que Facebook fuerza ahora a los usuarios a relacionar su número de móvil a sus perfiles de Facebook para usar el servicio, así que si no quieres que la red social lo pueda usar no podrás utilizar un dispositivo móvil para subir fotografías.
El hacker dice que aunque sería mucho más difícil crackear un teléfono estadounidense con este exploit, no sería imposible, solo llevaría más tiempo.
«No es personal y tengo mucho respeto por el equipo de seguridad de Facebook. Si Facebook no acepta tu bug, eres libre de bloguear sobre ello. Creo que los ajustes de privacidad por defecto que protegen los números de teléfono deberían ser «solo yo», lo que no es así,» ha dicho Ceukelaire.
