Falla en Facebook podría originar grave problema de phishing

Un ingeniero de software le está pidiendo a Facebook que arregle un error de seguridad de datos que descubrió por equivocación algunos meses atrás. Reza Moaiandin, director técnico y co-fundador de la compañía británica de SEO SALT.agency, recientemente dijo que esta falla podría dejar a la red social a merced de ser comprometida.

Moaiandin explicó en el blog de su compañía que como consecuencia de este defecto, atacantes podrían “desencriptar y adivinar identidades de usuarios de Facebook utilizando una de las API de Facebook“. Como consecuencia, esto les brindaría acceso a información personal perteneciente a usuarios de Facebook, incluyendo nombres, números telefónicos, ubicación y foto de perfil.

El experto continuó explicando que como resultado de este error, los atacantes podrían saltearse el hashed ID al comunicarse directamente con el GraphQL de Facebook, un lenguaje query que fue creado por el gigate tecnológico en 2012.

Al utilizar un script, todas las combinaciones numéricas de un país entero se podrían correr a través de estas URLs, y si existiera un número asociado con una cuenta de Facebook, entonces se los podrían asociar con un nombre y otros detalles,” explicó Moaiandin.

Este podría ser un problema de phishing enorme si no se le pone un límite. Se necesita que la comunicación con esas API sea pre-cifrada y/o que se tomen otras medidas antes que este error sea descubierto por alguien más que esté dispuesto a realizar un daño.

El ingeniero ya se ha contactado con Facebook sobre esta cuestión, algo que realizó al momento de su descubrimiento (abril de 2015). El ingeniero de Facebook que le respondió le dijo que no fue capaz de “reproducir el comportamiento“, lo que significa que no fue capaz de comprender los detalles técnicos del problema y cómo se debería arreglar.

No hubo una solución, y algunos meses más tarde en julio, Moaiandin se contactó nuevamente con la red social. Sin embargo, esta vez el descubrimiento fue descartado como una preocupación seria de seguridad tal como afirma el siguiente mensaje:
respuesta_facebook
Por ahora, no aparece nada más en el horizonte en lo referido a este error, al menos desde la perspectiva de Facebook. Mientras tanto, Moaiandin dice que mantendrá al tanto a los usuarios en caso que se tomen acciones o si un atacante explota la falla.

Autor , ESET

Síguenos