Una nueva brecha de seguridad de Facebook pone en riesgo 90 millones de cuentas

Tres bugs diferentes, pero usados en combinación, permitieron tomar el control de cuentas en Facebook

Por ,

A estas alturas ya sabrás que Facebook ha sufrido un problema de seguridad exponiendo, potencialmente, 50 millones de cuentas. Este bug permitía a un atacante tomar el control de cualquier cuenta gracias a un bug encontrado en la función “Ver como”. Pero desde que Facebook publicase la noticia en la tarde del viernes 28 de septiembre, mucho ha pasado. Pongamos contexto.

Las copias de seguridad de WhatsApp ahora son inseguras

¿Qué ha pasado?

Varios errores de programación en Facebook permitía que usando una complicada combinación un atacante pudiese tomar el control de de una cuenta de la red social. El método usado era un fallo en la función “Ver como”, que permite previsualizar una publicación tal y como la vería otro usuario, no el autor.

El atacante lograba hacerse con el token alfanumérico que se genera cuando accede a Facebook y que se almacena en el navegador para que el sitio sepa que eres ese usuario y que tienes acceso directo para entrar a la propiedad.

¿Cuándo supo Facebook del problema?

Hace muy poco, el pasado martes 25 de septiembre el equipo de seguridad de Facebook encontró un pico de tráfico en la red social poco común. Una investigación para ver qué estaba pasando con el tráfico fue la que encontró el error, ya que alguien (según parece en Irlanda, aunque es imposible saberlo a ciencia cierta) empezó a almacenar tokens.

No fue hasta el jueves 27 cuando Facebook arregló el problema y empezó a preparar e comunicado.

Foto: Facebook

¿Cuántas cuentas han estado en peligro?

Facebook en su publicación original comentó que alrededor de 50 millones de cuentas estarían afectadas, por lo que procedieron a eliminar los tokens que te mantiene conectado. Por eso muchas personas tuvieron que entrar de nuevo el pasado viernes a cualquier lugar que usase Facebook para conectarse.

Pero este es el problema, cuando se encuentra un fallo de seguridad de este calibre, las cuentas afectadas solo son estimaciones. Siempre son muchas más. A sábado 29 de septiembre ya se cuentan en 90 millones de cuentas afectadas. Esta cifra crecerá.

¿Cuáles fueron los bugs que afectaron a Facebook?

Una combinación de tres diferentes.

  • El primer bug es el servicio “Ver como” en la herramienta para subir vídeos de la red social. No debería de mostrarse esta opción, pero en algunos casos sí cuando Facebook te aconsejaba que deseases feliz cumpleaños a alguna persona.
  • El segundo bug es que la herramienta para subir vídeos usaba incorrectamente el sistema para acceder a Facebook, generando un token de acceso que dotaba de permisos a la aplicación móvil de Facebook.
  • El tercer bug usaba este acceso que generaba la herramienta para subir vídeos generando un token no para quien lo fuese a visualizar, sino para la persona que estabas buscando y que querías saber cómo lo vería.

¿Qué debo hacer si Facebook me echó el viernes?

El token que Facebook genera para acceder a la red social se invalidó, por eso te echó y necesitas volver a entrar con tu usuario y contraseña. Aunque este problema de seguridad no es capaz de robar tu contraseña, siempre es recomendable actualizar la contraseña a una diferente.

Siempre puedes acceder a Login and Security Facebook options page y revisar quién ha tenido acceso a tu cuenta.

+ Info | Facebook

Compartir en:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Últimos vídeos