Un investigador de seguridad independiente, Sow Ching Shiong, descubrió una vulnerabilidad que afectaba a Facebook y permitía restablecer la contraseña de un usuario sin conocer la clave original.

Regularmente, en servicios de la naturaleza de Facebook, donde un usuario desee restablecer su contraseña, se le solicita la clave original para poder establecer una nueva. En el caso de Facebook, la vulnerabilidad consistía en la posibilidad de que una persona, podría establecer una nueva contraseña sin conocer la original.

Para explotar esta vulnerabilidad, el atacante podía acceder a https://www.facebook.com/hacked donde directamente era redirigido al sitio para establecer la nueva contraseña. A continuación, puede observarse una captura donde se iniciaba el proceso de recuperación:

Facebook Vulnerabilidad sin contraseña

Si se procedía, la siguiente instancia era un sitio que contenía un formulario donde se solicitaba la nueva contraseña para el correspondiente usuario. A continuación puede observarse una captura del mismo:

Facebook Vulnerabilidad formulario de recuperación

Luego de que esta vulnerabilidad fue reportada, Facebook logró repararla por lo que, actualmente, los usuarios se encuentran seguros. De esta forma, ya no es posible restablecer una nueva contraseña sin conocer la original. A continuación se adjunta una captura del formulario solicitando nuevamente la autenticación para proceder con el restablecimiento de la contraseña:

Facebook Vulnerabilidad contraseña antigua

Recordemos que en tiempos anteriores, Facebook fue uno de los principales blancos de ataque. De esa manera, es importante que el usuario también considere la seguridad de Facebook desde su propia cuenta. Para tal fin, recomendamos la lectura de nuestra guía de privacidad para Facebook.

Fernando Catoira
Analista de Seguridad