Facebook reparó un defecto que pudo haber sido explotado para hackear la cuenta de un usuario, utilizando mensajes SMS, en menos de 60 segundos. También dio al investigador de seguridad que descubrió el bug no revelado una recompensa de $20,000 dólares.
El investigador británico de seguridad informática, Jack Whitton, conocido como Fin1te y quien descubrió el error, reveló esta semana que había reportado el problema a Facebook el 23 de mayo. Sólo cinco días después, Facebook reconoció el reporte del bug y le dijo que el problema había sido solucionado. El miércoles, el programa de recompensas de errores de Facebook, que premia a los investigadores que en privado revelan vulnerabilidades de la red social y esperan a detallarlas públicamente hasta después de que la misma soluciona el problema, agradeció a Whitton “por hacer Facebook más seguro con este gran error.”
El ataque de Whitton aprovechó una vulnerabilidad de la seguridad relacionada con la vinculación de un número de teléfono móvil a una cuenta de Facebook. “Esto le permite recibir actualizaciones a través de SMS, y también significa que se puede acceder mediante el número en lugar de su dirección de correo electrónico”, dijo en un blog.
El defecto se generaba por la forma en que la página PHP de Facebook manejaba las confirmaciones de SMS. Whitton identificó una técnica de ataque de dos pasos que le permitió asociar un teléfono móvil arbitrario con la cuenta de Facebook de cualquier persona, y luego iniciar un proceso de restablecimiento de contraseña que le permitió elegir una nueva contraseña de una cuenta objetivo, dándole así acceso completo. El propietario de la cuenta objetivo, por su parte, no habría tenido ninguna indicación de que el hackeo estaba en marcha hasta que era demasiado tarde.
La hazaña de Whitton aprovechó el mecanismo de Facebook para la activación y el uso de los mensajes de texto con la red social. En Estados Unidos, un proceso de configuración relacionada implica el envío de un mensaje de texto que contiene sólo “fb” al 32654 (FBOOK), ese número de texto varía en algunos otros países. Después de un pequeño retraso, Facebook envía un SMS de vuelta al teléfono móvil con un código de ocho caracteres que se debe introducir en la página de configuración del móvil de un usuario en el sitio de Facebook antes de que el enlace con el teléfono móvil se pueda activar.
El ataque de Whitton implicó la modificación del código que utiliza el formulario de la configuración móvil antes de que se entregara de nuevo a Facebook. Particularmente, encontró que podía cambiar el elemento “ID del perfil”, que se refiere al número de identificación público asignado a cada cuenta de Facebook, para cualquier ID de usuario de una cuenta de la red social. Después de enviar el formulario, Facebook podría empatar el número de teléfono móvil utilizado para ese ID de Facebook.
A continuación, un atacante podría utilizar la función de restablecimiento de contraseña de Facebook para solicitar que un código de confirmación de restablecimiento de contraseña se envié a través de SMS al teléfono móvil de la cuenta que acaba de ser autorizado. Este código se puede introducir en la pantalla de restablecimiento de contraseña de Facebook, y la contraseña de la cuenta de un usuario cambia a una contraseña de elección del atacante. A esas alturas, el atacante habría ganado el control de la cuenta objetivo.
“La recompensa asignada a este error fue de $ 20,000 dólares lo que demuestra claramente la gravedad del problema”, dijo Whitton. La corrección correspondiente de Facebook, por su parte, fue simple: “Facebook respondió con ya no aceptar el parámetro ID del perfil del usuario”, dijo.
A medida que la recompensa fue pagada a Whitton sugiere que divulgar las vulnerabilidades de software puede traer mucho dinero. Microsoft a principios de este mes aún ofrecía un máximo de $100,000 dólares de recompensa para las “técnicas de explotación realmente novedosas.”
Si bien eso es una cantidad sustancial de dinero, la realidad es que en el mercado abierto, cibercrimen subterráneo, tales vulnerabilidades podrían traer mucho más. “Creo que ese bug valía más de $20,000 pero eso es aún es una buena cantidad de efectivo para una vulnerabilidad!” tuiteó un investigador de seguridad informática con sede en Dublín que se conoce con el nombre de Ninja de Seguridad, en referencia a la recompensa por el error de Facebook de Whitton.
Por otro lado, tomar la ruta coordinada de confidencialidad, dar aviso a Facebook sobre el error, en lugar de pregonar a los compradores de bugs, significa llegar a revelar públicamente su papel en ayudar responsablemente a corregir un error. Eso puede ser un buen paso en su carrera para alguien como Whitton, quien es un ingeniero de seguridad de aplicaciones por día, y un investigador independiente de seguridad informática de noche, que se gana la vida mediante la prueba de aplicaciones Web y la revisión de código fuente para errores.
Fuente: www.informationweek.com.mx
Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx
Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.
