Un hacker obtuvo el control de los servidores de Facebook
Cómo la publicidad abrió las puertas a los servidores de Meta.
En octubre de 2024, el investigador de ciberseguridad Ben Sadeghipour identificó una vulnerabilidad en la plataforma publicitaria de Facebook*, que permitía ejecutar comandos en un servidor interno de la empresa. El fallo, de hecho, otorgaba control total sobre el servidor.
Sadeghipour informó a Meta* sobre la vulnerabilidad, que fue solucionada en tan solo una hora. Como recompensa, el especialista recibió $100,000 a través del programa Bug Bounty. En su informe para Meta, Sadeghipour destacó que el problema requería una solución inmediata, ya que afectaba la infraestructura interna de la empresa. Meta reaccionó rápidamente y pidió al investigador que se abstuviera de realizar más pruebas hasta que las correcciones estuvieran completas.
La causa de la vulnerabilidad fue un defecto previamente corregido en el navegador Chrome, que se utiliza en el sistema de creación y distribución de publicidad de Facebook. Sadeghipour señaló que el error permitía usar un navegador sin interfaz gráfica de Chrome (Headless browser) para interactuar con los servidores internos de Facebook.
Trabajando en conjunto con otro investigador independiente, Alex Chapman, Sadeghipour explicó que las plataformas publicitarias suelen ser un objetivo de ataques debido al procesamiento complejo de datos del lado del servidor. Procesos como la creación y gestión de materiales publicitarios en video, texto y gráficos pueden abrir múltiples vulnerabilidades.
Sadeghipour admitió que no probó todos los posibles escenarios de explotación, pero señaló un alto nivel de riesgo. La vulnerabilidad permitía obtener acceso no solo a un servidor en particular, sino también a otros recursos relacionados de la infraestructura. Gracias a la ejecución remota de código (Remote Code Execution, RCE), los atacantes podrían haber eludido las restricciones del sistema y accedido a datos de otros servidores.
Según el investigador, vulnerabilidades similares podrían encontrarse en las plataformas publicitarias de otras empresas, lo que hace que el problema sea aún más relevante. Al momento de la publicación, Meta se negó a hacer comentarios, confirmando únicamente que había recibido la consulta de los periodistas.
* La empresa Meta y sus productos han sido reconocidos como extremistas, y su actividad está prohibida en el territorio de Rusia.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla