Vulnerabilidad en Facebook permitía secuestrar cuentas

Share this…

El laboratorio de la firma Bitdefender ha informado de que una vulnerabilidad en Facebook ha comprometido la seguridad de las cuentas de todos los usuarios de la red social, ya que permitía que un atacante pudiera robar las claves de acceso de una forma muy sencilla.

De acuerdo con el informe de la compañía de seguridad, el problema se encontraba en la opción que tienen muchas apps y páginas web que permite registrarte a través de la red social. Este tipo de autenticación es una alternativa bastante utilizada por su comodidad y rapidez, y está disponible en infinidad de portales y aplicaciones, donde además de a través de Facebook puedes acceder con Google Plus, Twitter o LinkedIn, entre otros servicios.

Attackers Pose as Account Owners via Facebook Login Flaw

Sin embargo, en el caso de Facebook esta función contaba con un fallo de seguridad. “Se trata de una vulnerabilidad grave que permite a los atacantes logarse en la mayoría de los sitios web que ofrecen iniciar la sesión a través de Facebook”, explica el investigador de Bitdefender Ionut Cemica.

Efectuar la suplantación de identidad era muy simple. Para ello, el atacante tenía que crear una nueva cuenta en Facebook utilizando una dirección de la víctima que no estuviera registrada en la red social. Durante el registro, el delincuente cambiaba esta cuenta cuenta de correo y la sustituía por una que él controlaba, de tal manera que la dirección de la víctima quedaba como contacto principal, a pesar de que sólo se había confirmado la segunda cuenta, controlada por el atacante.

Después, el delincuente podría establecer su propia dirección como contacto principal y, como consecuencia, recibir los correos electrónicos de Facebook de recuperación de contraseña parasecuestrar la cuenta de la víctima.

Los investigadores de Bitdefender han comunicado el problema a la red social de Mark Zuckerberg, que ya está solucionado, e indican que este tipo de vulnerabilidades son difíciles de descubrir tanto por parte de la aplicación o el portal que utiliza este sistema de autenticación, como por parte de Facebook.

Fuente:https://computerhoy.com/