LOGOTD2016 2

Sábado 25 de Mayo de 2019

+57(1) 361 87 14

Facebook recompensa reporte de vulnerabilidad crítica con 25 mil USD

La vulnerabilidad habría permitido a un atacante tomar control de una cuenta con sólo hacer clic en un enlace.

 

Facebook acaba de entregar una recompensa de 25 mil dólares por el reporte de una vulnerabilidad crítica de falsificación de solicitud entre sitios (cross site request forgery).

 

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, la vulnerabilidad podría haber sido explotada para secuestrar cuentas de la red social; el atacante sólo necesitaba engañar a la víctima para que hiciera clic en un enlace especialmente diseñado.

 

El hacker de sombrero blanco conocido en la comunidad como "Samm0uda" fue el encargado de reportar la falla a la red social, que otorgó la considerable suma por su reporte.

 

"La vulnerabilidad podría haber permitido que usuarios maliciosos enviaran solicitudes con tokens falsificados a puntos finales arbitrarios en Facebook, con lo que era posible tomar control de la cuenta de la víctima. Las víctimas sólo tenían que hacer clic en un enlace", agregó el especialista en seguridad en redes.

 

"Explotar la vulnerabilidad es posible debido a un endpoint vulnerable que toma otro endpoint de Facebook seleccionado por el atacante junto con los parámetros y realiza una solicitud POST a ese endpoint después de agregar el parámetro fb_dtsg. Además, este endpoint se encuentra bajo el dominio principal www.facebook.com, por lo que es muy fácil para los atacantes engañar a las víctimas para que se dirijan a esa URL", agregó Samm0uda.

 

El experto en seguridad en redes publicó las URL de su prueba de concepto, que podría explotarse para publicar cualquier cosa en el timeline de la víctima, o incluso cambiar su foto de perfil. La vulnerabilidad incluso podría haber sido explotada para eliminar una cuenta de Facebook, aunque las víctimas tendrían que haber proporcionado su contraseña a la plataforma antes de completar el proceso de eliminación de la cuenta.

 

Por si no fuera suficiente, la vulnerabilidad también habría sido explotada para restablecer la contraseña de una cuenta cambiando la dirección email o número de teléfono asociado a ésta. El atacante tendría que haber enviado algunas solicitudes a Facebook para agregar sus propios medios de contacto a la cuenta, con lo que restablecer la contraseña sería cosa fácil.

 

Para tomar control total de una cuenta, un hacker tendría que haber explotado la vulnerabilidad dos veces: una para reemplazar o agregar su dirección email o número de teléfono, y una segunda ocasión para confirmar el cambio.

 

El experto también pudo crear un enlace único que le permitió obtener el token de acceso de las víctimas.

 

Fuente: noticiasseguridad

seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800