{"id":13964,"date":"2020-09-18T14:22:28","date_gmt":"2020-09-18T17:22:28","guid":{"rendered":"https:\/\/ostec.blog\/?p=13964"},"modified":"2020-09-18T14:23:56","modified_gmt":"2020-09-18T17:23:56","slug":"facebook-bug-10-anos","status":"publish","type":"post","link":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/","title":{"rendered":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales"},"content":{"rendered":"

Una vulnerabilidad peligros\u00edsima de Facebook, fue descubierta por un investigador.<\/p>\n

La funci\u00f3n de Facebook para autorizaciones: \u201cIniciar sesi\u00f3n en Facebook\u201d, conten\u00eda una falla que le permit\u00eda a los hackers robar el Token de acceso a los usuarios y tomar control total de la cuenta de la v\u00edctima.<\/p>\n

El investigador de seguridad Amol Baikar, fue quien encontr\u00f3 la vulnerabilidad.<\/p>\n

Seg\u00fan relata, esa vulnerabilidad grave de Facebook les permit\u00eda a los hackers, adquirir cuentas vinculadas al Facebook, como por ejemplo Instagram, Netflix, Tinder, Spotify y dem\u00e1s sitios web y aplicativos de terceros en el que el usuario inici\u00f3 sesi\u00f3n utilizando la cuenta de Facebook.<\/p>\n

Esa falla fue comunicada a Facebook en diciembre del 2019 y la soluci\u00f3n emitida para ese bug, por Facebook, fue r\u00e1pida.<\/p>\n

El investigador recibi\u00f3 una recompensa de USD $55.000, la mayor recompensa pagada en la historia del programa de recompensas por encontrar errores o vulnerabilidades de software.<\/p>\n

Roban el token y se apoderan de la cuenta del usuario<\/h2>\n

Amol advirti\u00f3 de 2 puntos diferentes de manera importante en esa corriente de vulnerabilidad.<\/p>\n

El primero es la falta de encabezamiento \u201cX-Frame-Option\u201d. El segundo es \u201cwindow.parente\u201d que salva la interacci\u00f3n del usuario como cero.<\/p>\n

El resultado es la exposici\u00f3n de la comunicaci\u00f3n entre los dominios, permitiendo la fuga del token de acceso del usuario hacia cualquier origen, sin su conocimiento y comprometiendo la cuenta.<\/p>\n

\"Linguagem<\/p>\n

Fuente: Amol Baikar<\/p>\n

Amol, durante su\u00a0investigaci\u00f3n<\/a>, observ\u00f3 que la vulnerabilidad filtraba primeramente los tokens\u00a0GraphQL<\/a>, que se trata de un lenguaje de manipulaci\u00f3n y consulta de datos, de c\u00f3digo abierto para APIs y un tiempo de ejecuci\u00f3n para responder a las consultas con datos existentes.<\/p>\n

El GraphQLFoi fue desarrollado por Facebook en 2012 y lanzado p\u00fablicamente en 2015.<\/p>\n

 <\/p>\n

\"Imagem<\/p>\n

Fuente: Amol Baikar<\/p>\n

\u00bfQu\u00e9 debemos saber sobre esa falla?<\/h2>\n

Esa grave vulnerabilidad permite que, todos los aplicativos de Facebook y Token de acceso a sitios web y aplicativos de terceros, puedan filtrar informaci\u00f3n en unos segundos o hasta instant\u00e1neamente.<\/p>\n

La fuga de token primario le concede permiso total sobre la cuenta de la v\u00edctima. El hacker incluso puede tener acceso a los datos personales que el usuario coloca en su cuenta, como n\u00famero de tel\u00e9fono y correo electr\u00f3nico.<\/p>\n

Los tokens de acceso de terceros no caducan, son guardados hasta que el usuario desvincule su cuenta.<\/p>\n

El Token de la v\u00edctima contin\u00faa siendo v\u00e1lido, a\u00fan despu\u00e9s de que el hacker domine la cuente. Ellos logran dominar la cuenta y recolectar los datos hasta que la v\u00edctima altere su contrase\u00f1a.<\/p>\n

Esa vulnerabilidad estuvo en la funci\u00f3n \u201cIniciar sesi\u00f3n con Facebook\u201d pr\u00e1cticamente por 10 a\u00f1os y no se sabe si el bug fue o no explotado.<\/p>\n

Por lo tanto, es recomendable que todos los usuarios de Facebook cambien su contrase\u00f1a y se desconecten de todos los dispositivos en los que tengan abierta una sesi\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"

Una vulnerabilidad peligros\u00edsima de Facebook, fue descubierta por un investigador. La funci\u00f3n de Facebook para autorizaciones: \u201cIniciar sesi\u00f3n en Facebook\u201d, conten\u00eda una falla que le permit\u00eda a los hackers robar el Token de acceso a los usuarios y tomar control total de la cuenta de la v\u00edctima. El investigador de seguridad Amol Baikar, fue quien […]<\/p>\n","protected":false},"author":13,"featured_media":13967,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1019],"tags":[],"class_list":["post-13964","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-generico"],"yoast_head":"\nFacebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados\" \/>\n<meta property=\"og:description\" content=\"Una vulnerabilidad peligros\u00edsima de Facebook, fue descubierta por un investigador. La funci\u00f3n de Facebook para autorizaciones: \u201cIniciar sesi\u00f3n en Facebook\u201d, conten\u00eda una falla que le permit\u00eda a los hackers robar el Token de acceso a los usuarios y tomar control total de la cuenta de la v\u00edctima. El investigador de seguridad Amol Baikar, fue quien […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\" \/>\n<meta property=\"og:site_name\" content=\"OSTEC | Seguran\u00e7a digital de resultados\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/ostec\" \/>\n<meta property=\"article:published_time\" content=\"2020-09-18T17:22:28+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2020-09-18T17:23:56+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"928\" \/>\n\t<meta property=\"og:image:height\" content=\"534\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Thais Souza\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@ostecsecurity\" \/>\n<meta name=\"twitter:site\" content=\"@ostecsecurity\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\"},\"author\":{\"name\":\"Thais Souza\",\"@id\":\"https:\/\/ostec.blog\/#\/schema\/person\/ca88ecd81da20ed5773cd0959c645c33\"},\"headline\":\"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales\",\"datePublished\":\"2020-09-18T17:22:28+00:00\",\"dateModified\":\"2020-09-18T17:23:56+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\"},\"wordCount\":518,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/ostec.blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg\",\"articleSection\":[\"Gen\u00e9rico\"],\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\",\"url\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\",\"name\":\"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados\",\"isPartOf\":{\"@id\":\"https:\/\/ostec.blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg\",\"datePublished\":\"2020-09-18T17:22:28+00:00\",\"dateModified\":\"2020-09-18T17:23:56+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage\",\"url\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg\",\"contentUrl\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg\",\"width\":928,\"height\":534},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/ostec.blog\/es\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/ostec.blog\/#website\",\"url\":\"https:\/\/ostec.blog\/\",\"name\":\"OSTEC | Seguran\u00e7a digital de resultados\",\"description\":\"Empresa especializada na oferta de produtos e servi\u00e7os de seguran\u00e7a digital.\",\"publisher\":{\"@id\":\"https:\/\/ostec.blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/ostec.blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/ostec.blog\/#organization\",\"name\":\"OSTEC Business Security\",\"url\":\"https:\/\/ostec.blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/ostec.blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/11\/logo_ostec_250.png\",\"contentUrl\":\"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/11\/logo_ostec_250.png\",\"width\":251,\"height\":67,\"caption\":\"OSTEC Business Security\"},\"image\":{\"@id\":\"https:\/\/ostec.blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/ostec\",\"https:\/\/x.com\/ostecsecurity\",\"https:\/\/www.instagram.com\/ostecsecurity\/\",\"https:\/\/linkedin.com\/company\/ostec-security\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/ostec.blog\/#\/schema\/person\/ca88ecd81da20ed5773cd0959c645c33\",\"name\":\"Thais Souza\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/ostec.blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/400dde6458954de06efa803109767977?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/400dde6458954de06efa803109767977?s=96&d=mm&r=g\",\"caption\":\"Thais Souza\"},\"url\":\"https:\/\/ostec.blog\/es\/author\/thais-souza\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/","og_locale":"es_ES","og_type":"article","og_title":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados","og_description":"Una vulnerabilidad peligros\u00edsima de Facebook, fue descubierta por un investigador. La funci\u00f3n de Facebook para autorizaciones: \u201cIniciar sesi\u00f3n en Facebook\u201d, conten\u00eda una falla que le permit\u00eda a los hackers robar el Token de acceso a los usuarios y tomar control total de la cuenta de la v\u00edctima. El investigador de seguridad Amol Baikar, fue quien […]","og_url":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/","og_site_name":"OSTEC | Seguran\u00e7a digital de resultados","article_publisher":"https:\/\/www.facebook.com\/ostec","article_published_time":"2020-09-18T17:22:28+00:00","article_modified_time":"2020-09-18T17:23:56+00:00","og_image":[{"width":928,"height":534,"url":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg","type":"image\/jpeg"}],"author":"Thais Souza","twitter_card":"summary_large_image","twitter_creator":"@ostecsecurity","twitter_site":"@ostecsecurity","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#article","isPartOf":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/"},"author":{"name":"Thais Souza","@id":"https:\/\/ostec.blog\/#\/schema\/person\/ca88ecd81da20ed5773cd0959c645c33"},"headline":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales","datePublished":"2020-09-18T17:22:28+00:00","dateModified":"2020-09-18T17:23:56+00:00","mainEntityOfPage":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/"},"wordCount":518,"commentCount":0,"publisher":{"@id":"https:\/\/ostec.blog\/#organization"},"image":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage"},"thumbnailUrl":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg","articleSection":["Gen\u00e9rico"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/","url":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/","name":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales - OSTEC | Seguran\u00e7a digital de resultados","isPartOf":{"@id":"https:\/\/ostec.blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage"},"image":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage"},"thumbnailUrl":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg","datePublished":"2020-09-18T17:22:28+00:00","dateModified":"2020-09-18T17:23:56+00:00","breadcrumb":{"@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#primaryimage","url":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg","contentUrl":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/03\/aplicativo-facebook.jpg","width":928,"height":534},{"@type":"BreadcrumbList","@id":"https:\/\/ostec.blog\/es\/generico\/facebook-bug-10-anos\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/ostec.blog\/es\/"},{"@type":"ListItem","position":2,"name":"Facebook tiene bug, desde hace 10 a\u00f1os, que permite el secuestro de cuentas de usuarios por parte de cibercriminales"}]},{"@type":"WebSite","@id":"https:\/\/ostec.blog\/#website","url":"https:\/\/ostec.blog\/","name":"OSTEC | Seguran\u00e7a digital de resultados","description":"Empresa especializada na oferta de produtos e servi\u00e7os de seguran\u00e7a digital.","publisher":{"@id":"https:\/\/ostec.blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/ostec.blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/ostec.blog\/#organization","name":"OSTEC Business Security","url":"https:\/\/ostec.blog\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/ostec.blog\/#\/schema\/logo\/image\/","url":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/11\/logo_ostec_250.png","contentUrl":"https:\/\/ostec.blog\/wp-content\/uploads\/2020\/11\/logo_ostec_250.png","width":251,"height":67,"caption":"OSTEC Business Security"},"image":{"@id":"https:\/\/ostec.blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/ostec","https:\/\/x.com\/ostecsecurity","https:\/\/www.instagram.com\/ostecsecurity\/","https:\/\/linkedin.com\/company\/ostec-security"]},{"@type":"Person","@id":"https:\/\/ostec.blog\/#\/schema\/person\/ca88ecd81da20ed5773cd0959c645c33","name":"Thais Souza","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/ostec.blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/400dde6458954de06efa803109767977?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/400dde6458954de06efa803109767977?s=96&d=mm&r=g","caption":"Thais Souza"},"url":"https:\/\/ostec.blog\/es\/author\/thais-souza\/"}]}},"_links":{"self":[{"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/posts\/13964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/comments?post=13964"}],"version-history":[{"count":0,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/posts\/13964\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/media\/13967"}],"wp:attachment":[{"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/media?parent=13964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/categories?post=13964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ostec.blog\/es\/wp-json\/wp\/v2\/tags?post=13964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}