miércoles, 14 de noviembre de 2018

Otro error de Facebook podría haber expuesto tu información privada

Otra vulnerabilidad de seguridad ha sido reportada en Facebook que podría haber permitido a los atacantes obtener cierta información personal sobre los usuarios y sus amigos, lo que podría poner en riesgo la privacidad de los usuarios de la red social más popular del mundo.







Descubierta por investigadores de ciberseguridad de Imperva, la vulnerabilidad reside en la forma en que la función de búsqueda de Facebook muestra los resultados de las consultas ingresadas.






Según el investigador de Imperva Ron Masas, la página que muestra los resultados de búsqueda incluye elementos iFrame asociados con cada resultado, donde las URL de punto final de esos iFrames no tenían ningún mecanismo de protección para protegerse contra los ataques de falsificación de solicitudes entre sitios (CSRF).

peligros de facebook e internet


Se debe tener en cuenta que la vulnerabilidad recién informada ya ha sido reparada y, a diferencia de la falla divulgada anteriormente en Facebook que exponía la información personal de 30 millones de usuarios, no permitía a los atacantes extraer información de cuentas masivas de una vez.


¿Cómo funciona la vulnerabilidad de búsqueda en Facebook?
Para aprovechar esta vulnerabilidad, todo lo que debe hacer un atacante es simplemente engañar a los usuarios para que visiten un sitio malicioso en su navegador web donde ya han iniciado sesión en sus cuentas de Facebook.

El sitio malicioso contiene un código javascript que se ejecutará en segundo plano tan pronto como la víctima haga clic en cualquier lugar de esa página.

“Para que este ataque funcione, debemos engañar a un usuario de Facebook para que abra nuestro sitio malicioso y haga clic en cualquier lugar del sitio (puede ser cualquier sitio en el que podamos ejecutar JavaScript), lo que nos permite abrir una ventana emergente o una nueva pestaña en Facebook. “Página de búsqueda, lo que obliga al usuario a ejecutar cualquier consulta de búsqueda que queramos”, explicó Masas en una publicación del blog.”

Como lo demostró Masas, el código JavaScript abre una nueva pestaña o ventana con una URL de Facebook que ejecuta ciertas consultas de búsqueda predefinidas y mide el resultado para extraer información específica.

Buscar algo en Facebook parece menos lucrativo, especialmente cuando el código de vulnerabilidad devuelve el resultado solo en sí o no.

Pero si se usa correctamente, la función de búsqueda de Facebook podría ser explotada para extraer información confidencial relacionada con tu cuenta de Facebook, como verificar:

  • Si tienes un amigo con un nombre específico o una palabra clave en su nombre
  • Si te gusta una página en particular o eres miembro de un grupo específico
  • Si tienes un amigo al que le gusta una página en particular
  • Si has tomado fotos en un determinado lugar o país
  • Si alguna vez has publicado una foto tomada en ciertos lugares/países
  • Si alguna vez has publicado una actualización en tu línea de tiempo que contiene un texto/palabra clave específica
  • Si tienes amigos islámicos

Y así sucesivamente ... cualquier consulta personalizada que puedas encontrar.


En resumen, la vulnerabilidad expuso los intereses y las actividades de los usuarios seleccionados y sus amigos, incluso si tu configuración de privacidad está configurada de manera que esta información solo pueda ser visible para ellos o para sus amigos.

Imperva informó responsablemente el error a Facebook a través del programa de divulgación de vulnerabilidades de la compañía en mayo de 2018, y el gigante de las redes sociales resolvió el problema días después agregando protecciones CSRF.


¿Tienes algo que decir sobre este artículo? Deja tu comentario. Por favor comparte el post en las redes sociales.     
   

Fuente: The hacker News

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.