El investigador Amol Baikar, que trabaja en el campo de la seguridad de la información, ha publicado datos sobre una vulnerabilidad de hace diez años en el protocolo de autorización OAuth utilizado por la red social Facebook. La explotación de esta vulnerabilidad hizo posible hackear cuentas de Facebook.
El problema mencionado se refiere a la función "Iniciar sesión con Facebook", que le permite iniciar sesión en diferentes sitios web utilizando su cuenta de Facebook. Para intercambiar tokens entre facebook.com y recursos de terceros se utiliza el protocolo OAuth 2.0, que tiene deficiencias que permitieron a los atacantes interceptar tokens de acceso para piratear cuentas de usuarios. Utilizando sitios web maliciosos, los atacantes podrían obtener acceso no sólo a cuentas de Facebook, sino también a cuentas de otros servicios que admiten la función "Iniciar sesión con Facebook". Actualmente, una gran cantidad de recursos web admiten esta función. Después de obtener acceso a las cuentas de las víctimas, los atacantes pueden enviar mensajes, editar datos de las cuentas y realizar otras acciones en nombre de los propietarios de las cuentas pirateadas.
Según los informes, el investigador notificó a Facebook sobre el problema descubierto en diciembre del año pasado. Los desarrolladores reconocieron la existencia de la vulnerabilidad y la solucionaron rápidamente. Sin embargo, en enero, Baykar encontró una solución que le permitió obtener acceso a las cuentas de los usuarios de la red. Posteriormente, Facebook solucionó esta vulnerabilidad y el investigador recibió una recompensa de 55 dólares.
Fuente: 3dnews.ru