Facebook tapona el agujero que permitió el secuestro de cuenta

La vulnerabilidad habría permitido a un posible atacante robar datos sensibles conocidos como tokens de acceso OAuth. Facebook usa el protocolo OAuth para brindar acceso a aplicaciones de terceros a cuentas de usuarios una vez que los usuarios las aprueban. A cada aplicación se le asigna un token de acceso exclusivo para cada cuenta de usuario.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Goldshlager encontró una vulnerabilidad en los sitios web de Facebook para dispositivos móviles y táctiles Sanitización de rutas de URL. Esto le permitió crear URL que podrían haber sido utilizadas para robar el token de acceso de cualquier aplicación que el usuario haya instalado en su perfil.

Si bien la mayoría de las aplicaciones en Facebook son aplicaciones de terceros que los usuarios deben aprobar manualmente, hay una algunas aplicaciones integradas que están preaprobadas. Una de esas aplicaciones es Facebook Messenger; su token de acceso no caduca a menos que el usuario cambie su contraseña y tenga amplios permisos para acceder a los datos de la cuenta.

Facebook Messenger puede leer, enviar, cargar y administrar mensajes, notificaciones, fotos, correos electrónicos, videos y más. La vulnerabilidad de manipulación de URL encontrada en m.facebook.com y touch.facebook.com, podría haber sido explotada para robar el token de acceso de un usuario para Facebook Messenger, lo que le habría dado al atacante acceso total a la cuenta, dijo Goldshlager.

Fingered by bug-hunter

La URL de ataque podría haberse acortado con uno de los muchos servicios de acortador de URL y enviarse a los usuarios enmascarados como un enlace a otra cosa. El ataque también habría funcionado en cuentas que tenían activada la autenticación de dos factores de Facebook, dijo Goldshlager.

Con el token de acceso y el ID de usuario de Facebook, un atacante puede extraer información de la cuenta de usuario mediante el Graph API Explorer, un herramienta para desarrolladores disponible en el sitio de Facebook, Goldshlager dijo el viernes por correo electrónico.

Según Goldshlager, el equipo de seguridad de Facebook corrigió la vulnerabilidad. "Facebook tiene un equipo de seguridad profesional y solucionan los problemas muy rápido", dijo.

"Aplaudimos al investigador de seguridad que nos llamó la atención sobre este problema y a informar de manera responsable el error a nuestro Programa White Hat", un representante de Facebook dijo el viernes por correo electrónico. "Trabajamos con el equipo para asegurarnos de que comprendiéramos el alcance completo de la vulnerabilidad, lo que nos permitió arreglarlo sin ninguna evidencia de que este error se haya explotado en la naturaleza. Debido al informe responsable de este problema a Facebook, no tenemos evidencia de que los usuarios se hayan visto afectados por este error. Hemos proporcionado una recompensa al investigador para agradecerles por su contribución a la seguridad de Facebook. "

El investigador afirma que también encontró otras vulnerabilidades relacionadas con OAuth que afectan a Facebook, pero se negó a revelar información sobre ellas porque no las tienen". Se ha corregido aún.

Facebook ejecuta un programa de recompensa por errores a través del cual paga recompensas monetarias a los investigadores de seguridad que encuentran y reportan de manera responsable las vulnerabilidades que afectan el sitio.

Goldshlager dijo en Twitter que aún no ha sido pagado por Facebook por informando esta vulnerabilidad, pero señaló que su informe incluía múltiples vulnerabilidades y que probablemente recibirá la recompensa después de que todas sean reparadas.

Facebook paga muy bien a los investigadores de seguridad para encontrar y reportar errores, Goldshlager dijo por correo electrónico. "No puedo decir cuánto, pero pagan más que cualquier otro programa de recompensas de errores que conozco".

Actualizado a las 11:55 a.m. PT para incluir un comentario de Facebook.