• Inicio
  • Ayuda
  • TV
  • Buscar…

Error en Facebook permitía secuestrar cuentas con solo abrir un enlace



febrero 18, 2019
El investigador bajo el seudónimo “Samm0uda” reportó el pasado 26 de enero a Facebook el hallazgo. Se trata de una vulnerabilidad conocida como Cross Site Request Forgery (CSRF), que traducido sería falsificación de petición en sitios cruzados. Este tipo de vulnerabilidad lo que hace es forzar al navegador de una víctima a realizar acciones no deseadas en una aplicación web en la cual no están autenticados.
Secuestro Facebook
Imagen por TY Lim vía Shutterstock

En este caso, el investigador descubrió el fallo luego de identificar un endpoint defectuoso que podía explotarse para evadir la protección ante ataques de CSRF y tomar control de la cuenta de la víctima.

Según explicó el investigador a través de su blog, “para que este ataque sea efectivo lo que necesita el atacante es engañara  a la víctima para que haga clic en un enlace”.

A modo de ejemplo, entre las posibles acciones que este fallo hubiera permitido a un atacante están: posibilidad de realizar una publicación en la línea de tiempo de la víctima, eliminar la foto de perfil o engañar al usuario para que elimine su cuenta por completo; aunque para para esto último o tomar control completo de la cuenta es necesario esfuerzos adicionales.

Si bien en principio esto hubiese requerido que la víctima haga clic en dos enlaces distintos, para que en uno añada la dirección de correo o número de teléfono y en otro lo confirme, el investigador demostró que era posible tomar control de la cuenta con una sola URL al identificar los endpoints en los que el parámetro “siguiente” esté presente y autorizando a una app maliciosa en nombre de la víctima para de esta manera obtener los tokens de acceso a Facebook de la víctima.

Con acceso a los tokens de autenticación de la víctima, el exploit añade automáticamente una dirección de correo controlada por el atacante a su cuenta, permitiendo a este último tomar control total de la misma con solo resetear la contraseña y bloqueando al usuario legítimo, explicó TheHackerNews.

Según explicó el investigador en su blog, el ataque es realizado en un abrir y cerrar de ojos y es peligroso porque no apunta a un usuario en particular, sino a cualquiera que haga clic en el primer enlace.

Por último, algo no menos importante, el secuestro de una cuenta mediante un ataque similar a este podría evitarse si el usuario tiene activo el doble factor de autenticación, a menos que el atacante tenga acceso al código que es enviado a tu teléfono como parte del proceso de autenticación.

“Samm0uda” reportó el fallo el pasado 26 de enero y el 31 Facebook lo corrigió. Días después y como parte de su programa de recompensas, la compañía otorgó 25.000 dólares al investigador por reportar el fallo.

Origen: Vulnerabilidad en Facebook permitía secuestrar cuentas con solo abrir un enlace


[+] Videos de nuestro canal de YouTube
¡Comparte ahora!
+, Alerta de seguridad, Redes Sociales    facebook
← Curiosa cuenta de Instagram que muestra los escenarios reales de series y películas
5 juegos para divertirte en familia usando el Chromecast de tu televisor →

Transmite video en vivo como un profesional usando las redes celulares. Descubre cómo con LiveU. Reportando desde casa, cubriendo eventos deportivos o acontecimientos en pleno desarrollo, usa la mejor forma de comunicar las últimas noticias que tu comunidad necesita.






[+] Popular

Amazon android Android 10 Android 11 apple asus CES coronavirus criptomoneda criptomonedas digitel ESET facebook filtraciones Filtración gmail google google play HP Huawei IA Instagram Intel ipad iphone kaspersky Kaspersky Lab Lenovo LG LiveU Microsoft Motorola NASA nokia Oppo ransomware redmi samsung Samsung Galaxy sony twitter WhatsApp Windows 10 Xiaomi youtube

[+] Para buscar






[+] Menú

  • Inicio
  • Apps
    • WhatsApp
    • Android
    • iOS
    • Windows
    • MacOS
  • Alerta
    • Seguridad
  • e-Boletín: GRATIS
  • Buscar…
  • Nuevo
    • Smartphone
    • PC
    • TV
  • Favoritos
  • Ayuda
    • Test de velocidad GRATIS
  • Juegos
    • Móvil
    • Xbox
    • PS
    • Nintendo
  • Me gusta
    • Autos
    • Cine
    • Música
    • Turismo
  • Video
    • AltaDensidad.TV
  • Audio
    • Podcast
    • iVoox
    • Apple Podcasts
    • Spotify
  • +Info
    • Horarios
    • Contacto
    • Prensa
    • Publicidad
    • Grupo WhatsApp
    • Youtube
    • Twitter
    • Instagram
    • Facebook
    • RSS
    • Política de privacidad

[+] Recientes

  • Digitel estrena nuevas zonas de cobertura 4G LTE en Caracas
  • Iluminación ideal del dormitorio para garantizar un buen descanso
  • Bicicleta eléctrica plegable con neumáticos anchos y hasta 80 km de autonomía
  • Google lanza Android 13 Beta 3.3 con un montón de correcciones de errores
  • Fossil Gen 6 Hybrid: reloj inteligente con soporte para Alexa y dos semanas de autonomía
  • Peligroso malware bancario para Android ataca a clientes de BBVA
  • Blackview Aliexpress 618 Summer Sale 2022 arranca con descuentos de hasta 264 dólares
  • MIUI 12.5 estable: enlaces de descarga para Xiaomi, POCO y Redmi
  • MIUI 13 estable: enlaces para descargar Xiaomi, Redmi y POCO
  • Software italiano espía móviles iOS y Android





Alta Densidad® y Disco Duro® son producciones de Carlos José Monzón ©1999-2022 | Contacto: info@altadensidad.com

EvoLve theme by Theme4Press  •  Powered by WordPress Alta Densidad
Tecnología inteligente @discoduro

¡Comparte ahora!
Ir a la versión móvil