News

Facebook neutraliza un exploit que permitía obtener los datos privados de cualquier cuenta

Facebook se ha visto forzada a realizar ajustes de emergencia a su red social después de que un experto en seguridad descubriera una vulnerabilidad que permitía tener acceso de administrador a cualquier cuenta del sitio.

Nir Goldshlager descubrió que podía explotar una vulnerabilidad en el servicio OAuth, que los desarrolladores de aplicaciones utilizan para obtener los permisos necesarios de las cuentas de los usuarios, para conseguir acceso ilimitado a las fotos y mensajes privados de cualquier usuario de la red social.

El error le permitía acceder a la información privada aún después de que el usuario hubiera cambiado su contraseña, aunque a veces esto ocasionaba fallas en el funcionamiento del exploit. El hacker explica en detalle la vulnerabilidad en su blog .

El hacker reveló su descubrimiento a Facebook para que lo solucionara antes de hacerlo público. De este modo, evitó que los hackers maliciosos comenzaran a explotar la vulnerabilidad. “Felicitamos al investigador de seguridad que nos hizo notar este problema por haberlo denunciado de forma responsable a nuestro White Hat Program. Trabajamos en equipo para asegurarnos que entendíamos la magnitud real de la vulnerabilidad, lo que nos permitió solucionarla sin que se encontrara ningún caso de su explotación en Internet”, dijo un representante de Facebook.

A pesar de que este problema ya está resuelto, el hacker de “sombrero blanco” Nir Goldshlager dijo que había descubierto aún más errores que aún no se han solucionado. “Encontré otro par de vulnerabilidades OAuth en Facebook, y estoy esperando que las solucionen para poder escribir sobre ellas”, dijo Goldshlager en su blog.

Fuentes:

Hacker says security flaw let him access any Facebook profile CNet News

Facebook Hacker Reveals His Method IT Tech Post
Security Flaw Gives Hacker Full Access to Facebook Profiles Mashable

Facebook neutraliza un exploit que permitía obtener los datos privados de cualquier cuenta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada