Saltar al contenido

Falla en la contraseña de Facebook

2012-11-05

La red social corrige un defecto que podría haber puesto más de un millón de cuentas en riesgo.

Este fin de semana Facebook desactivo un vacío legal que podría haber permitido a algunas cuentas acceder sin contraseña.


La vulnerabilidad, que se envió a Hacker News el viernes, lo que potencialmente podría haber permitido que un usuario no autorizado pueda acceder a la cuenta de otra persona en Facebook.

La falla se centró en los e-mails enviados por la red social que contenían enlaces que, una vez pulsados, se conectaban directamente a un usuario de una cuenta de Facebook sin necesidad de ningún tipo de autenticación secundaria, como introducir una contraseña. Los e-mails pueden ser descubiertas a través de una consulta simple búsqueda de Google, con 1,3 millones de cuentas potencialmente abiertos a la falla, según Hacker News.

Además de la educación de los vínculos que podrían exponer a las cuentas de Facebook a inicios de sesión no autorizados, la consulta de búsqueda también mostró la direcciones de correo electrónico asociada a las cuentas.

La consulta de búsqueda que se encuentran en los enlaces – que eran de carácter temporal y expiraban una vez que el usuario previsto hacia clic en ellos – ha sido desactivada por Google y ya no muestran ningún resultado.

El ingeniero de Facebook Matt Jones dijo en Hacker News que Facebook no comparte los enlaces. “Sólo envía estas URL a la dirección de correo electrónico del propietario de la cuenta para su facilidad de uso y nunca las hará públicas. Incluso entonces ponemos la protección en lugar de reducir la probabilidad de que alguien más podría hacerle clic a través de la cuenta.”

“Para un motor de búsqueda que llega a través de estos enlaces, el contenido de los e-mails tendrían que haber sido publicados en Internet (por ejemplo, a través de sitios de correo electrónico desechables, como alguien ha señalado – o personas cuyas direcciones de correo electrónico vayan a las listas del email con archivos en línea)”, agregó.

El sistema de seguridad de Facebook también ejecuta “comprobaciones adicionales para asegurarse que el dueño de la cuenta está ingresando”, según Jones.

La mayoría de los enlaces en los resultados de búsqueda ya habrían expirado, y Facebook desde entonces ha desactivado la función por el momento, dijo el ingeniero.

“De todos modos, debido a que algunos de estos enlaces que están siendo revelados, hemos convertido la función de apagado hasta que mejor puede garantizar su seguridad para los usuarios cuyas direcciones de correo contenido es visible públicamente. También estamos asegurando las cuentas de cualquier persona que recientemente haya entrado en el flujo a través de este medio.”

“A pesar de lo que dice facebook, el peligro estuvo ahí, y será mejor que no vuelva a suceder.”

Falla en la contraseña de Facebook
Califica este artículo 😉