La brecha de seguridad descubierta por los ingenieros de Facebook (NASDAQ: FB) el 25 de septiembre permitió a los atacantes tomar control directo sobre las cuentas de los usuarios; Alrededor de 50 millones de ellos para ser exactos.
La última violación de seguridad de Facebook
Además de los 50 millones, Facebook también dijo que había otros 40 millones de cuentas que eran potencialmente vulnerables. Todo dicho, la compañía cerró la sesión de 90 millones de cuentas para evitar daños mayores.
$config[code] not foundEn una actualización de seguridad, Facebook admitió que el ataque pudo explotar la compleja interacción de múltiples problemas en su código. Esto se debió a un cambio que la compañía realizó en su función de carga de videos en julio de 2017 que afectó a la función "Ver como".
Facebook dijo: "Los atacantes no solo tenían que encontrar esta vulnerabilidad y usarla para obtener un token de acceso, sino que también tenían que pasar de esa cuenta a otras para robar más tokens".
Este ataque no podría haber llegado en peor momento para Facebook. La compañía está tratando de aumentar su seguridad antes de las próximas elecciones a medio plazo, mientras que al mismo tiempo intenta recuperarse del fiasco de Cambridge Analytica, en el que se compartieron datos de aproximadamente 87 millones de usuarios con una agencia de consultoría política.
La vista como característica
La función Ver como permite a los usuarios ver cómo se ve un perfil para otras personas.
Los atacantes pudieron explotar tres fallas o errores en la función "Ver como". En la misma actualización de seguridad, Pedro Canahuati, Vicepresidente de Ingeniería, Seguridad y Privacidad, enumeró esos defectos de la siguiente manera:
- Ver como incorrectamente dio la oportunidad de publicar un video.
- Una nueva versión del cargador de video (la interfaz que se presentaría como resultado del primer error), presentada en julio de 2017, generó incorrectamente un token de acceso que tenía los permisos de la aplicación móvil de Facebook.
- Cuando el cargador de video apareció como parte de Ver como, generó el token de acceso NO para el espectador, sino para el usuario que estaba mirando hacia arriba.
Facebook dijo que desactivó la función Ver como temporalmente mientras realiza una revisión de seguridad.
Engañar a Facebook para emitir tokens de acceso
Con esta vulnerabilidad, los atacantes pudieron engañar a Facebook para que emitiera tokens de acceso. Esto les dio acceso a las cuentas de usuario como si fueran el usuario.
También tenían acceso a los servicios en los que el usuario podría haberse registrado para usar Facebook, como Airbnb, Spotify, Tinder u otras aplicaciones y juegos.
Facebook ha restablecido los tokens de acceso de los 50 millones de cuentas que se vieron afectadas, así como los 40 millones de cuentas adicionales que podrían haber sido vulnerables.
Si su cuenta fue uno de los 90 millones afectados por este incidente, se le solicitará que vuelva a iniciar sesión en Facebook y en cualquier cuenta vinculada.
¿Quien es responsable?
En una conferencia telefónica (PDF), Guy Rosen, vicepresidente de gestión de productos de Facebook, dijo que la compañía notificó a las autoridades policiales y está trabajando con el FBI.
En cuanto a quién es responsable, Rosen continúa diciendo que es difícil descubrir quién estuvo detrás del ataque, y agregó: "Es posible que nunca lo sepamos".
Imagen: Facebook
3 comentarios ▼
