This post is also available in: Português Español
Una vulnerabilidad peligrosísima de Facebook, fue descubierta por un investigador.
La función de Facebook para autorizaciones: “Iniciar sesión en Facebook”, contenía una falla que le permitía a los hackers robar el Token de acceso a los usuarios y tomar control total de la cuenta de la víctima.
El investigador de seguridad Amol Baikar, fue quien encontró la vulnerabilidad.
Según relata, esa vulnerabilidad grave de Facebook les permitía a los hackers, adquirir cuentas vinculadas al Facebook, como por ejemplo Instagram, Netflix, Tinder, Spotify y demás sitios web y aplicativos de terceros en el que el usuario inició sesión utilizando la cuenta de Facebook.
Esa falla fue comunicada a Facebook en diciembre del 2019 y la solución emitida para ese bug, por Facebook, fue rápida.
El investigador recibió una recompensa de USD $55.000, la mayor recompensa pagada en la historia del programa de recompensas por encontrar errores o vulnerabilidades de software.
Roban el token y se apoderan de la cuenta del usuario
Amol advirtió de 2 puntos diferentes de manera importante en esa corriente de vulnerabilidad.
El primero es la falta de encabezamiento “X-Frame-Option”. El segundo es “window.parente” que salva la interacción del usuario como cero.
El resultado es la exposición de la comunicación entre los dominios, permitiendo la fuga del token de acceso del usuario hacia cualquier origen, sin su conocimiento y comprometiendo la cuenta.
Fuente: Amol Baikar
Amol, durante su investigación, observó que la vulnerabilidad filtraba primeramente los tokens GraphQL, que se trata de un lenguaje de manipulación y consulta de datos, de código abierto para APIs y un tiempo de ejecución para responder a las consultas con datos existentes.
El GraphQLFoi fue desarrollado por Facebook en 2012 y lanzado públicamente en 2015.
Fuente: Amol Baikar
¿Qué debemos saber sobre esa falla?
Esa grave vulnerabilidad permite que, todos los aplicativos de Facebook y Token de acceso a sitios web y aplicativos de terceros, puedan filtrar información en unos segundos o hasta instantáneamente.
La fuga de token primario le concede permiso total sobre la cuenta de la víctima. El hacker incluso puede tener acceso a los datos personales que el usuario coloca en su cuenta, como número de teléfono y correo electrónico.
Los tokens de acceso de terceros no caducan, son guardados hasta que el usuario desvincule su cuenta.
El Token de la víctima continúa siendo válido, aún después de que el hacker domine la cuente. Ellos logran dominar la cuenta y recolectar los datos hasta que la víctima altere su contraseña.
Esa vulnerabilidad estuvo en la función “Iniciar sesión con Facebook” prácticamente por 10 años y no se sabe si el bug fue o no explotado.
Por lo tanto, es recomendable que todos los usuarios de Facebook cambien su contraseña y se desconecten de todos los dispositivos en los que tengan abierta una sesión.
This post is also available in: Português Español
