Un fallo permite hackear cualquier cuenta de Facebook con facilidad

Un investigador de seguridad ha descubierto una “vulnerabilidad simple” que le ha permitido hackear de forma sencilla cualquier cuenta de Facebook, pudiendo ver los mensajes de las conversaciones, publicar en el muro, ver los detalles de tarjetas de pago y utilizar el conjunto de la cuenta como si fuera el titular de la misma.

La persona detrás de este descubrimiento está Anand Prakash, cazarrecompensas (de bugs informáticos) hindú que descubrió una vulnerabilidad en el mecanismo para restablecer la contraseña. Un fallo simple pero crítico que pueda dar al atacante oportunidades sin límite para realizar un ataque de fuerza bruta mediante códigos de seis dígitos y restaurar la contraseña de cualquier cuenta.

¿Cómo funciona esta bug de Facebook?

Facebook permite a los usuarios cambiar la contraseña a través de un proceso de restauración que confirma la cuenta con un código de seis dígitos enviado a través de email o mensaje de texto. Para asegurarse de que el usuario es el verdadero y no alguien que lo está suplantando, Facebook permite al dueño de la cuenta intentar una docena de códigos antes de que el mecanismo sea bloqueado, si después de ese número de intentos el usuario no ha conseguido restaurar la cuenta, salta la protección contra ataques de fuerza bruta (probar contraseñas una a una hasta dar con la correcta).

Sin embargo Prakash ha descubierto que la red social no ha implementado ningún límite en el proceso de restauración de la contraseña en la versión beta de Facebook, cuyos dominios son beta.facebook.com y mbasic.beta.facebook.com. Debido a esto, podía seguir probando la restauración de la constraseña de forma ilimitada hasta dar con el código que le permitiese acceder a la cuenta.

El hacker ha publicado un vídeo en el que muestra cómo explota la vulnerabilidad. Como se puede apreciar, envía peticiones POST a la versión beta de Facebook con la siguiente cadena: lsd=AVoywo13&n=XXXXX. El valor asignado a “n” (n=XXXXX) corresponde a los seis dígitos del código que se averigua mediante fuerza bruta. Una vez conseguido el código correcto el atacante puede acceder a la cuenta como si fuese el dueño de esta.

Recompensado por Facebook

Como hemos dicho en un párrafo anterior, Anand Prakash es un cazarrecompensas, por lo que Facebook le ha pagado 15.000 dólares después de analizar el impacto de esta vulnerabilidad, que fue descubierta el pasado 22 de febrero.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -