Cuidado: encuentran seria vulnerabilidad en Facebook

connect screen

Si hay algo que reconocerle a Zuckerberg es su brillantez a la hora de interpretar los deseos de las usuarias. Así como fue capaz de notar que las usuarias estaban interesadas en conocer información de sus amigas y conocidas, fue capaz de notar que la vaya a cruzar en el 2009 era incorporar un chat en Facebook, luego los scrolls de noticias y otras medidas entre las que estuvo la que nos convoca hoy. Estas medidas son en mi opinión las que han hecho que Facebook no desaparezca, algo que además venimos por un lado esperando muchas y por otro prediciendo otras.

Cuando Facebook se orientó descaradamente a recolectar información de las personas y la we intentó sacar provecho de todo esto, Zuckerberg dio acceso, porque no tenía alternativa, pero no la posibilidad ni de tener todos los datos que la red antisocial sí almacena, ni de poder extraerlos de sus servidores. Allí apareció el «loguearte con Facebook» como opción en los sitios. Esta medida produjo que los sitios webs no tuvieran control sobre sus usuarias, pero Facebook sí. Es interesante cómo en ese sentido es clara la decisión de Zuckerberg de «reemplazar» internet, algo que no logró y a la luz de los últimos rumbos de la empresa tampoco logrará o incluso ya ha abandonado para incorporar proyectos como Internet.org.

Egor Homakov es una hacker especialista en seguridad y testeos de penetración de la empresa «Sakurity» y ha descubierto una vulnerabilidad que permite a atacantes maliciosas tomar el control de cuentas de Facebook que usen la función «Loguearse con Facebook» disponible en sitios web. El fallo no permite a las crackers acceder a tu contraseña, pero sí les deja entrar a tu cuenta utilizando una aplicación desarrollada por sitios web de terceras (que en este caso, son todos los sitios que no sean Facebook).

Homakov denunció esta vulnerabilidad hace más de un año, pero tras la inacción de la empresa decidió publicar en su blog un post bastante detallado en el que describe la vulnerabilidad como una CSRF (Cross-Site Request Forgery) y adjunta una app llamada «Reconnect» -de su propia cosecha- que además es libre y que puede usarse para explotar el error:

«RECONNECT es una herramienta lista para secuestrar cuentas en los sitios web con ‘Logueate con Facebook’, por ejemplo Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo y muchos otros. Sentite libre de copiar y modificar el código fuente. Facebook se negó a solucionar este problema hace un año, por desgracia, es el momento de llevarlo al siguiente nivel y regalar esta sencilla herramienta».

¿Qué es un error CSRF?

Es una falsificación que termina obligando a las usuarias a hacer algo que no es exactamente lo que quieren hacer o esperan que suceda. La usuaria final es engañada para hacer click en un enlace con el que adquieren poder sobre tu sesión de Facebook.

¿Cómo protegerse?

Bueno, igual que con todo: comprobando la veracidad de los enlaces que uses, nunca usar tu cuenta para loguearte en sitios de terceras y en lo posible dejando de usar Facebook.

¡Happy Hacking!

Salir de la versión móvil