Facebook soluciona vulnerabilidad en el restablecimiento de contraseñas

El descubrimiento de una vulnerabilidad en una aplicación usada por tanta gente como Facebook suele causar gran revuelo por el número de posibles afectados. Si además esta vulnerabilidad resulta tan fácil de explotar como la que descubrió recientemente el investigador Sow Ching Shiong, deberíamos empezar a preocuparnos.

Esta vulnerabilidad que ya ha sido solucionada por Facebook permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la contraseña anterior. Este grave fallo de diseño consistía en acceder a una dirección que Facebook pone a disposición de los usuarios para cambiar su contraseña:

https://www.facebook.com/hacked

Esta web redireccionaba a los usuarios a otro enlace donde, si observamos bien la URL, se incluía un parámetro [userid]. Este parámetro corresponde con un código único de cada usuario y que un atacante podía usar para cambiar la contraseña de ese usuario en particular.

https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked

Una vez en este enlace comprobábamos que no pedía ningún tipo de autentificación y solo necesitábamos pulsar sobre un botón para poder acceder a cambiar la contraseña.

eset_nod32_FB_userid

En el siguiente enlace se nos permitía introducir una nueva contraseña pero en ningún momento se nos preguntaba por la contraseña anterior, por lo que, técnicamente, nos apoderábamos de la cuenta del usuario al cambiarle sus credenciales de acceso.

eset_nod32_FB_password_old

Por suerte, Facebook ha cambiado este mecanismo y si ahora deseamos cambiar la contraseña, primero se nos pide identificarnos e introducir la contraseña actual antes de proceder al cambio.

eset_nod32_FB_password

Aunque esta vulnerabilidad ya se encuentre solucionada es difícil saber durante cuánto tiempo ha sido conocida y cuántas cuentas de usuarios podrían haber sido víctimas de un cambio de contraseña. No obstante, al tratarse de algo que un usuario notaría enseguida cuando intentase acceder a su cuenta sin éxito, dudamos que haya sido usado de forma masiva.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..