I made a website. it’s called «one million checkboxes dot com». it has one million checkboxes on it.
checking a box checks it for everyone.
that’s it. have fun! pic.twitter.com/KBF4UqCMJc
— nolen (@itseieio) June 26, 2024
Me ha encantado la historia que cuenta Nolen Royalty en The secret inside One Million Checkboxes acerca de cómo un grupito de adolescentes consiguió colar varios mensajes dentro de su página One Million Checkboxes.
No recuerdo haberla visto mencionada en ningún sitio pero se trataba de una página que lanzó a finales de julio de este año en la que, simplemente, había, como su propio nombre indica, un millón de casillas de verificación. Era el mismo millón de casillas para todo el mundo, así que cada vez que alguien hacía clic en una esa casilla quedaba activada o desactivada según correspondiera para todo el mundo.
Una cosa que Nolen hizo fue programar todo para que no se pudieran hacer fácilmente mensajes o dibujos inapropiados. Para eso según el tamaño de la ventana y la resolución de la pantalla el ancho de la web iba cambiando. Así, aunque una persona viera un texto o dibujo determinados en su dispositivo en un momento dado lo más probable es que en cualquier otro dispositivo no fueran reconocibles.
El estado de cada casilla de verificación se guardaba como un bit, así que un millón de bits representaban el estado global de todas las casillas. A ocho bits por byte de toda la vida eso son 125 KB, algo nada descabellado para la web actual. De hecho es menos de lo que ocupan muchos de los gifs que rulan por Telegram, WhatsApp y similares.
Pero un día a Nolen se le ocurrió, sin ningún motivo especial para hacerlo, echar un vistazo al volcado en ASCII del millón de bits. En ASCII cada carácter son ocho bits, así que le salió un fichero de texto de 125.000 caracteres. Y alucinó cuando descubrió que había mensajes ocultos en ese texto.
En concreto se encontró con el URL https://catgirls.win/omcb
repetido unas cuantas veces.
Al principio entró un poco en pánico pensando que le habían crackeado la página para modificar en contenido de la base de datos. Pero tras revisar el código sin conseguir dar con la manera en la que podían haberlo hecho cayó en la cuenta de que lo que pasaba es que alguien le estaba escribiendo un mensaje a través de las casillas de verificación.
De hecho, una vez que cayó en la cuenta de eso, pronto descubrió que había un bot que se encargaba de mantener el estado de una serie de casillas en el necesario para escribir el URL en la base de datos.
Así que decidió visitar la dirección, que resultó apuntar a un grupo de Discord llamado Checking Boxes, Marcando casillas, en el que fue recibido como un héroe. En él le preguntaron si se le había ocurrido mirar el millón de casillas como una imagen monocroma de 1.000×1.000 pixeles y de nuevo alucinó:
One Million Checkboxes como 1.000×1.000 pixeles – Vía Nolen Royalty
Ese bitmap contenía toda una serie de imágenes y mensajes. E incluso cosas como un código QR completo que llevaba al grupo de Discord. Con el tiempo llegaron incluso a experimentar con añadir animaciones e incluso color tratando grupos de tres bytes consecutivos como los valores de rojo, verde y azul de un pixel adyacente.
Uno de los mensajes ocultos en ese mapa de bits – Vía Nolen Royalty
Cuando Nolen descubrió el grupo había algo menos de veinte personas. Pero esa cifra creció hasta algo más de 60 para cuando decidió cerrar la web.
Lejos de enfadarse, le pareció un uso maravilloso e inesperado de su proyecto por parte de un grupo de adolescentes con ganas de experimentar. Hackers en toda regla.