Corrigen un fallo de seguridad en Facebook Beta

0

Un sitio en versión beta, perteneciente a la popular red social Facebook, contaba con una deficiencia importante de seguridad que permitía hackear cuentas ajenas mediante ataques de fuerza bruta sobre las claves de recuperación de contraseña para el dominio Faceboo Beta.

Facebook Beta vulnerableEste descubrimiento demuestra como a veces las grandes empresas también relajan sus mecanismos de seguridad y tiene que ser un tercero con buenas intenciones -su nombre es Anand Prakash, un investigador indú- quien de la voz de alarma.

Corrigen un fallo de seguridad en Facebook Beta

En su blog, Prakash explcia como, mediante uno de los accesos que Facebook proporciona al usuario para recuperar su cuenta https://www.facebook.com/login/identify?ctx=recover&lwv=110 un usuario puede restablecer el acceso introduciendo su email o número de teléfono.

Una vez introducido el dato de rigor, Facebook envía un código de 6 dígitos al número de teléfono o email proporcionados. Este código deberá usarse entonces para iniciar sesión en la cuenta como antes y escoger una nueva contraseña.

Prakash tuvo la curiosidad de comprobar si el podría derribar con fuerza bruta el código de 6 dígitos en www.facebook.com, pero de manera impecable se le denegaba tras unos 10 a 12 intentos fallidos.

Pero a veces para obtener las respuestas apropiadas hay que hacerse las preguntas necesarias, así que decidió probar de otra forma:

Entonces decidí comprobar si existía este mismo problema en beta.facebook.com y mbasic.beta.facebook.com y de forma interesante no existía un mecanismo de limitación de intentos de recuperación de contraseña para clientes finales. 

Entonces el ingeniero probó esta idea en su propia cuenta -ya que el no quería contravenir las condiciones de Facebook y atacar a un tercero- y fué capaz de recuperar su cuenta y establecer la contraseña deseada a placer.

El fallo de seguridad de Facebook Beta, en vídeo

Un pequeño exploit

Ahí queda demostrado que era posible efectivamente romper la seguridad del código de recuperación de cuenta de Facebook Beta, sin restricción alguna. Prakash construye un sencillo exploit con una petición HTTP de 3 líneas, que envía utilizando BurpSuite:

POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com
lsd=AVoywo13&n=XXXXX

Armado con el conocimiento de un número de teléfono, dirección de email o nombre de usuario -fragmentos de información fáciles de encontrar en la red- el ingeniero es capaz de utilizar la fuerza bruta contra el sitio web Facebook Beta, un sitio web diseñado para desarrolladores, pero abierto a la navegación de todo el mundo.

Haciendo cliclos a través de las posibles combinaciones para códigos de 6 dígitos, encontró que Facebook Beta no limitaba el número de intentos a introducir, lo que le dió la victoria y ofreció acceso casi inmediato.

Conclusiones

La simplicidad de este abuso de cuentas en Facebook Beta nos deja con cierto sentimiento de preocupación, pues no se ha seguido una política de seguridad aseada en este caso. Lo normal para este tipo de sistemas es que se limiten los intentos a 5, algo bastante estandarizado en el sector, y sorprende que nadie haya caído en ello hasta ahora.

Esperamos que, aprovechando la situación, Facebook realice una auditoría de seguridad en su sitio Beta, en busca de otros posibles problemas que corregir.

Valora y comparte!

  • User Ratings (1 Votes)
    9.3
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR