Así es el nuevo fallo de seguridad de Facebook que podría haberte robado la cuenta. Y no es único en su especie

Facebook Bug Allowed Attackers To Take Over Accounts On Other Sites 503428 6

Genbeta. Si bien Facebook lleva años postulándose como el gran gigante de las redes sociales y su crecimiento no parece detenerse, lo cierto es que existen una serie de cuestiones negativas relativas a la seguridad y la privacidad de nuestros datos, ligadas, inevitablemente, a esta comunidad virtual.

Una cuestión que no nos extraña en un contexto en el que nos dedicamos a subir toda clase de imágenes personales, opiniones y comentarios a la plataforma. Un compendio de datos y una información que puede quedar expuesta (sí, más allá de lo que pretendamos), al mínimo fallo. Y es precisamente lo que, según Bitdefender, ha sucedido, pues la compañía ha detectado una vulnerabilidad que habría permitido el robo de cuentas y que, por fortuna, ya se ha solucionado.

 

El fallo de seguridad



Facebook Bug Allowed Attackers To Take Over Accounts On Other Sites 503428 4


De esta manera y tal y como ha informado el portal Softpedia, el fallo se producía en algunas páginas web y aplicaciones que tenían habilitado el típico botón de registro a través de la red social (plugin social); una integración habitual y bastante cómoda que brinda información al portal al que deseamos acceder pero que, en esta ocasión suponía un problema.

El proceso de secuestro, en concreto, resultaba sencillo, pues durante el proceso de registro de la cuenta se obligaba al usuario a introducir dos cuentas de correo electrónico. La segunda era la que el atacante podía manipular, cambiar por la suya, y establecer como prioritaria; algo que conllevaba que, cuando el proceso requiriese la validación del perfil, fuera el delincuente el que recibiese el código de confirmación. Momento a partir del cual podría robarle la cuenta a su víctima.

Facebook Bug Allowed Attackers To Take Over Accounts On Other Sites 503428 5


Y no es único en su especie


No obstante lo comentado, este error no es único en su especie, sino que, a principios del mes pasado supimos de la existencia de un bug de Facebook que permitía, mediante una aplicación obtener datos tan valiosos como nuestra contraseña y nombre de la cuenta. Se trataba de Reconnect, una herramienta creada por la empresa de seguridad Sakurity y que, tras un año de alertar a Zuckerberg de esta posibilidad, decidió lanzar el software para evidenciar el problema y hacer entrar en razón a la compañía.

En enero, por otra parte, Jack Whitton, investigador de seguridad, descubrió otra vulnerabilidad que permitía tomar el control total de una cuenta; un agujero que la firma no tardó en corregir y por el que fue premiado por el programa Bug Bounty. Tampoco podemos dejar de hablar del caso del joven marroquí de 21 años (Ayoub Fathi)que detectó un error en la comunidad virtual relacionado con la divulgación de informaciones ?privadas? y ?eliminadas?.

1366 2000


Un descubrimiento que le valió la suma nada desdeñable de 6.600 euros como recompensa a este ?viejo conocido? de la red que, solamente en 2015, detecto hasta tres erratas importantes en Facebook. El chico, por cierto, ha colaborado también como analista de seguridad para empresas de la talla de HackerOne, BugCrowd, y Defencely.

Otro ejemplo reciente destacable es el que tuvo lugar en octubre del año pasado, cuando os hablamos de una nueva estafa en Facebook: un supuesto vídeo impactante que mostraba a una chica en estado crítico. Al pulsar sobre el botón de reproducción (por nuestra conciencia sobre los derechos humanos o por puro morbo) el usuario era redirigido a una página para compartirlo con sus contactos. Una acción que no solo no le dejaba ver el vídeo sino que le llevaba a una pantalla de verificación para que certificara ser mayor de 13 años.

Una verificación en la que se pedían datos personales como la dirección de correo electrónico, números de teléfono y otra información similar que comprometía nuestra privacidad. La fotografía, además, ni siquiera respondía a una crisis humanitaria en sí misma, sino al cuestionable ?escarmiento? de una ladrona nigeriana.

1366 2000


Asimismo, un informe presentado por The Guardian hace dos días también ha revelado que entre julio y septiembre del año pasado, los cibercriminales lograron acceder a nombres de usuarios y correos electrónicos de algunos empleados de Facebook. El fallo, en esta ocasión, fue descubierto por Orange Tsai, un investigador taiwanés que se topó con él mientras llevaba a cabo una serie de pruebas de penetración en la red corporativa de la comunidad virtual.

En concreto y según cuenta el desarrollador a este periódico, ?los atacantes consiguieron acceder a cuentas de correo y datos privados de los usuarios de la mano de la creación de una red proxy en la página de registro de las credenciales de los empleados. Las contraseñas que obtuvieron se almacenaron en un directorio web?, comentaba.

Facebook, para acabar, también ha sido empleado para difundir extensiones maliciosas. Recordemos la trampa de los vídeos para adultos, una trama que se saldó con más de 17 mil víctimas y habituales de Facebook. En aquella ocasión, el criminal se hacía pasar por una serie de usuarios y publicaba en su nombre un supuesto enlace a un vídeo para adultos de YouTube. El delincuente también etiquetaba a los amigos del perfil que había secuestrado, algo que multiplicaba su difusión.

Una vez pinchado el enlace en cuestión, se redirigía a la víctima a una teórica página de YouTube en la que debía descargarse un software para poder verlo. Una extensión que obtenía acceso a todos los datos que el usuario introduce en el ordenador y que, por fortuna, descubrió Kaspersky Lab.

 

La noticia Así es el nuevo fallo de seguridad de Facebook que podría haberte robado la cuenta. Y no es único en su especie fue publicada originalmente en Genbeta por Águeda A.Llorca.



Vía Genbeta