Un fallo permite hackear cualquier cuenta de Facebook con facilidad

face-hackUn investigador de seguridad ha descubierto una “vulnerabilidad simple” que le ha permitido hackear de forma sencilla cualquier cuenta de Facebook, pudiendo ver los mensajes de las conversaciones, publicar en el muro, ver los detalles de tarjetas de pago y utilizar el conjunto de la cuenta.

La persona detrás de este descubrimiento está Anand Prakash, cazarrecompensas (de bugs informáticos) hindú que descubrió una vulnerabilidad en el mecanismo para restablecer la contraseña.

Un fallo simple pero crítico que pueda dar al atacante oportunidades sin límite para realizar un ataque de fuerza bruta mediante códigos de seis dígitos y restaurar la contraseña de cualquier cuenta.

¿Cómo funciona esta bug de Facebook?

Facebook permite a los usuarios cambiar la contraseña a través de un proceso de restauración que confirma la cuenta con un código de seis dígitos enviado a través de email o mensaje de texto. Para asegurarse de que el usuario es el verdadero y no alguien que lo está suplantando, Facebook permite al dueño de la cuenta intentar una docena de códigos antes de que el mecanismo sea bloqueado, si después de ese número de intentos el usuario no ha conseguido restaurar la cuenta, salta la protección contra ataques de fuerza bruta (probar contraseñas una a una hasta dar con la correcta).

Sin embargo Prakash ha descubierto que la red social no ha implementado ningún límite en el proceso de restauración de la contraseña en la versión beta de Facebook, cuyos dominios son beta.facebook.com y mbasic.beta.facebook.com. Debido a esto, podía seguir probando la restauración de la constraseña de forma ilimitada hasta dar con el código que le permitiese acceder a la cuenta.

El hacker ha publicado un vídeo en el que muestra cómo explota la vulnerabilidad. Funciona enviando peticiones POST a la versión beta de Facebook con la siguiente cadena: lsd=AVoywo13&n=XXXXX. El valor asignado a “n” (n=XXXXX) corresponde a los seis dígitos del código que se averigua mediante fuerza bruta. Una vez conseguido el código correcto el atacante puede acceder a la cuenta como si fuese el dueño de esta

Comparte esto en:

Tags: , , , , , ,

Deja un Comentario