• Facebook dejo expuesta 50 millones de cuentas; habrían tenido acceso a todas las contraseñas
• El inicio de sesión solicitado por Facebook es una acción tardía que no evito la filtración de datos.

Si el día de ayer fuiste notificado acerca de que tu cuenta  de Facebook había sido vulnerada por hackers de los cuales no se sabe nada hasta el momento de cierre esta redacción, te sugerimos cambiar  tus contraseñas de todas tus cuentas sociales y laborales.

En especial si eres de aquellos que utilizan la misma contraseña de Facebook para iniciar sesión en otras cuentas, pues esto significa que no solo pueden entrar a tu cuenta de Facebook, sino que podrían saber mucha de la información de los usuarios.

Facebook en su ultima update sobre el problema:

Update on September 28, 2018 at 4:45PM PT 

Detalles técnicos adicionales
Por Pedro Canahuati, Vicepresidente de Ingeniería, Seguridad y Privacidad. (traducción al español desde ingles)

Aquí hay algunos detalles técnicos adicionales sobre el problema de seguridad descrito anteriormente.

A principios de esta semana, descubrimos que un actor externo atacó nuestros sistemas y explotó una vulnerabilidad que exponía los tokens de acceso de Facebook para las cuentas de las personas en HTML cuando representábamos un componente particular de la función “Ver como”. La vulnerabilidad fue el resultado de la interacción de tres errores distintos:

Primero: Ver como es una función de privacidad que permite a las personas ver cómo se ve su propio perfil para otra persona. Como debe ser una interfaz de solo lectura. Sin embargo, para un tipo de compositor (el cuadro que le permite publicar contenido en Facebook), específicamente la versión que permite a las personas desearle un feliz cumpleaños a sus amigos, Ver como incorrectamente brindó la oportunidad de publicar un video.

Segundo: Una nueva versión de nuestro cargador de video (la interfaz que se presentaría como resultado del primer error), presentada en julio de 2017, generó incorrectamente un token de acceso que tenía los permisos de la aplicación móvil de Facebook.

Tercero: cuando el cargador de video apareció como parte de Ver como, generó el token de acceso no para usted como espectador, sino para el usuario que estaba buscando.

Fue la combinación de estos tres errores lo que se convirtió en una vulnerabilidad: al usar la función Ver como para ver su perfil como amigo, el código no eliminó al compositor que le permite a la gente desearle un feliz cumpleaños. el cargador de video generará un token de acceso cuando no debería tenerlo; y cuando se generó el token de acceso, no era para usted sino para la persona que estaba buscando. Ese token de acceso estaba disponible en el HTML de la página, que los atacantes pudieron extraer y explotar para iniciar sesión como otro usuario.

Los atacantes pudieron entonces pivotar de ese token de acceso a otras cuentas, realizar las mismas acciones y obtener tokens de acceso adicionales.

Para proteger las cuentas de las personas, hemos corregido la vulnerabilidad. También hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y también hemos tomado la precaución de restablecer los tokens de acceso para otros 40 millones de cuentas que han sido objeto de una consulta de Ver como en el último año. . Por último, hemos desactivado temporalmente la función Ver como mientras realizamos una revisión de seguridad exhaustiva.

Erre&ErreRedacción

Lee mas sobre esto: