Facebook reveló un defecto de seguridad generalizado que podría haber permitido a un hacker acceder a la cuenta de un usuario afectado al recopilar su token de seguridad. La falla afectó a hasta 50 millones de personas, según la compañía.
Facebook dice que está forzando a unos 90 millones de usuarios a volver a sus cuentas en su totalidad hoy para estar seguros. La compañía dice que alrededor de 40 millones de personas adicionales simplemente usaron la característica explotable desde que el exploit estuvo activo.
También dice que ha solucionado el problema y alertó a la policía; indicando que esto no es un error accidental de ingeniería, sino un exploit útil descubierto. El mismo fue utilizado por alguna organización de terceros o por un hacker.
Tokens de seguridad de Facebook expuesto
La compañía dice que su equipo de ingeniería se enteró del problema el 25 de septiembre; pero Guy Rosen, vicepresidente de gestión de productos de Facebook, dice que no está claro si las cuentas se vieron comprometidas, cuándo se explotó el problema o quién podría estar detrás del ataque.
«El martes, descubrimos que un atacante explotó una vulnerabilidad técnica para robar tokens de acceso. Estas les permitiría iniciar sesión en unas 50 millones de cuentas de personas en Facebook», escribió el CEO Mark Zuckerberg en una publicación en su página personal de Facebook. «Todavía no sabemos si estas cuentas fueron mal utilizadas, pero seguimos investigando esto y actualizaremos cuando sepamos más».
La falla podría haber permitido que alguien explote la función «Ver como». Esta os permite ver tu propio perfil tal como aparece a otro usuario o al público; como una forma de evaluar su configuración de uso compartido específica.
Sin embargo, parece que la característica inadvertidamente expuso tokens de seguridad de Facebook cuando alguien seleccionó un perfil como el objetivo de Ver como deseado. Eso le permitiría a alguien obtener acceso a la cuenta de la persona. Los tokens de acceso de Facebook son las claves digitales que permiten a los usuarios móviles iniciar sesión en sus cuentas; sin tener que volver a escribir sus contraseñas.
Todo comenzó con la función ‘Ver como’
Además de hacer que 90 millones de usuarios vuelvan a conectarse hoy, Facebook dijo que también está desactivando la función Ver como. Esto «mientras lleva a cabo una revisión de seguridad completa». La compañía da un poco de análisis técnico sobre cómo funcionaba el exploit; pero todavía no hay una gran cantidad de detalles concretos aquí:
«Este ataque explotó la compleja interacción de múltiples problemas en nuestro código. Surgió de un cambio que hicimos en nuestra función de carga de videos en julio de 2017; que impactó a ‘Ver como’. Los atacantes no solo necesitaban encontrar esta vulnerabilidad y usarla para obtener un token de acceso; sino que tenían que pivotar desde esa cuenta hasta otros para robar más fichas».
En una llamada con reporteros tras el anuncio, Facebook dijo que la «función de carga de videos en julio del año pasado se relacionaba con una herramienta que permitía a los usuarios cargar videos de cumpleaños de una manera que permitiera que la función Ver como para exponer información segura; pero solo al interactuar con otros dos errores. La compañía también confirmó que no se expuso información de la tarjeta de crédito.
https://twitter.com/kevinroose/status/1045727569495162880
I asked Facebook how sophisticated the hackers were and whether this could be nation-state activity. Rosen says attack was "complex" and leveraged three multiple bugs that interacted together. "We may never know" the identity of the hackers, Rosen adds.
— Dustin Volz (@dnvolz) September 28, 2018
Posible hacker estaría identificado
Las noticias de este ataque de seguridad se producen horas después de que un prominente hacker taiwanés llamado Chang Chi-yuan se comprometiera a eliminar la página personal de Zuckerberg el domingo; esto como una forma de demostrar algún tipo de falla de seguridad en Facebook,; o quizás la habilidad de Chang como hacker, o ambos .
No estaba claro de inmediato si el problema que afectaba a la función Ver como de Facebook era el que Chang intentaba explotar; pero en el momento se tenía sospechas de que el hacker estaba relacionado. Facebook dijo que este exploit no tiene nada que ver con el truco de Chang; que, según informes, planea transmitir en Facebook Live.
Una preocupación más apremiante para Facebook es la ausencia de un jefe de seguridad. Esto después de que el ex CSO Alex Stamos dejó la compañía el mes pasado. Tras la partida de Stamos, Facebook dijo que no estaría ocupando el puesto de OSC; y que en su lugar reestructuraría su organización de seguridad. También dijo que integraría especialistas a través de sus múltiples divisiones. Un vocero de Facebook dijo en ese momento que la compañía «continuaría evaluando qué tipo de estructura funciona mejor»; esto con la finalidad de proteger a los usuarios.
Cómo saber si tu cuenta Facebook fue hackeada
La cuestión es muy clara: solo tú podáis y debéis tener acceso a tu cuenta de Facebook. Así lo explica la misma red social, por lo que cualquier acto de suplantación, ingreso sin permiso y hackeo es asistido por la plataforma y tiene que ser reportado. Pero para ello primero se tiene que saber identificar si el perfil fue vulnerado.
Cuando una cuenta en la red social es utilizada por terceros sin permisos ofrece ciertos indicios del acto ilegal. Así, si observáis que se modificó el correo electrónico o contraseña de acceso, tu nombre o fecha de nacimiento, se enviaron solicitudes de amistad a desconocidos es porque te han hackeado la cuenta.
Si también se han enviado mensajes a través de Facebook Messenger que no escribiste o se realizaron publicaciones en el News Feed de la red social que no creaste es porque alguien más entró a tu perfil sin tu autorización para realizar estas acciones.
Si has identificado alguno de estos comportamientos en tu perfil podáis notificar a Facebook para proteger tu perfil. Podáis hacerlo a través de este link indicando el indicio que te lleva a sospechar que tu cuenta pudo ser hackeada. La red social te pedirá que cambies la contraseña y revises tu actividad de inicio de sesión reciente.
Además, para estar más seguro recuerda no utilizar la misma contraseña en diferentes sitios de Internet. Nunca la compartas con nadie. Evita incluir tu nombre o palabras comunes. Recuerda siempre cerrar sesión si entráis a Facebook desde una computadora que compartas con otras personas.
:)