facebook-logoApp_cybersecurity

La red social recientemente ha arreglado un bug descubierto por un desarrollador que demostró cómo el vacío legal le permitió tomar el control de las cuentas de otras personas.

Un hacker de seguridad recientemente ha encontrado un fallo en un sistema de Facebook que permitía a los desarrolladores acceder a la cuenta de Facebook de cualquier persona a través de los permisos de aplicaciones.

Aunque Facebook ha solucionado este problema, Nir Goldshlager, una especialista en seguridad de aplicaciones web que busca este tipo de defectos profesionalmente, de acuerdo con su blog ha encontrado más errores de autorización de aplicaciones que hay que arreglar. Los permisos de la aplicación es lo que los desarrolladores pueden utilizar para acceder a los datos de los usuarios necesarios para ejecutar sus aplicaciones. Los usuarios dan permisos de acceso al instalar las aplicaciones.

“He encontrado un par de defectos más en OAuth de Facebook, a la espera de una solución para escribir sobre esto”, escribió Goldshlager en su blog, donde detalla sus hallazgos.

Facebook no quiso hacer comentarios sobre las otras fallas que Goldshlager puede haber encontrado, pero dijo que el fallo original que él había detectado no había sido aprovechado por los actuales desarrolladores de Facebook. La compañía no dijo cuándo Goldshlager informó la falla.

“Aplaudimos al investigador de seguridad que trajo este asunto a nuestra atención y responsabilidad para informar del error a nuestro White Hat Program (Programa de sombrero blanco). Trabajamos con el equipo para asegurarse de que entiende todo el alcance de esta vulnerabilidad, lo que nos permitió arreglarlo sin evidencia de que este error fuera explotado activamente en el mundo real (in the wild) “, escribió un representante de Facebook en un correo electrónico a CNET. Agregando que; “Debido a la información responsable de esta cuestión para Facebook, no tenemos pruebas de que los usuarios se vieran afectados por este error. Hemos proporcionado una recompensa al investigador para darles las gracias por su contribución a la seguridad de Facebook”.

El bug encontrado por Goldschlager, le permitió robar los tokens de acceso y obtener acceso completo a un perfil como desarrollador. Esto incluye los mensajes, gestión de páginas, gestión de publicidad, fotos y videos privados. Esto aplica a los perfiles que no instalaron aplicaciones adicionales porque podría ir a través de aplicaciones integradas de Facebook, como el sistema de mensajería. Los tokens para aplicaciones de terceros no expiraron a menos que la víctima haya cambiado su contraseña, pero los tokens de la aplicación de mensajería de Facebook nunca vencen, escribió.

Nota: Todos los enlaces en el post están el idioma inglés.

Traducción: Velcro

Fuente: News CNET