En octubre de 2024, el investigador de seguridad Ben Sadeghipour estaba analizando la plataforma de anuncios de Facebook cuando encontró una vulnerabilidad de seguridad que le permitió ejecutar comandos en el servidor interno de Facebook que alojaba esa plataforma, dándole control sobre el servidor.
Después de informar sobre la vulnerabilidad al propietario de Facebook, Meta, quien según Sadeghipour tardó solo una hora en solucionarlo, el gigante de las redes sociales le otorgó $100,000 en recompensa por errores.
«Mi suposición es que es algo que querrás arreglar porque está directamente dentro de tu infraestructura», escribió Sadeghipour en el informe que envió a Meta, le dijo a TechCrunch. Meta respondió a su informe, diciéndole a Sadeghipour que «se abstuviera de realizar más pruebas» mientras ellos solucionaban la vulnerabilidad.
Según Sadeghipour, el problema era que uno de los servidores que Facebook utilizaba para crear y entregar anuncios era vulnerable a una falla anteriormente corregida que se encontraba en el navegador Chrome, que Facebook utiliza en su sistema de anuncios. Sadeghipour dijo que este error sin parchear le permitió secuestrarlo usando un navegador de Chrome sin interfaz (básicamente una versión del navegador que los usuarios ejecutan desde el terminal de la computadora) para interactuar directamente con los servidores internos de Facebook.
Sadeghipour, quien encontró la vulnerabilidad de Facebook trabajando con el investigador independiente Alex Chapman, le dijo a TechCrunch que las plataformas de publicidad en línea son objetivos atractivos porque «hay mucho que sucede en el fondo para hacer estos ‘anuncios’ – ya sea video, texto o imágenes».
«Pero en el fondo de todo, es una gran cantidad de datos que se procesan en el servidor y esto abre la puerta a una gran cantidad de vulnerabilidades», dijo Sadeghipour.
El investigador dijo que no probó todo lo que podría haber hecho una vez dentro del servidor de Facebook, pero «lo peligroso de esto es que probablemente era parte de una infraestructura interna».
Sadeghipour también dijo que plataformas de anuncios similares que ejecutan otras empresas, y que él ha estado analizando, son vulnerables a vulnerabilidades similares.
