Un fallo permite la suplantación de identidad en Facebook

0

Fallo de seguridad en Facebook

¿Has intentado alguna vez crear una cuenta de Facebook usando el nombre de alguien, para después acceder a sus cuentas online? Cuentas que te permitirían realizar pedidos en su nombre, como contratar un vuelo o comprar algo por internet en su nombre. Se ha encontrado un fallo que permitiría realizar suplantación de identidad en Facebook y realizar este tipo de operaciones.

Unos investigadores del equipo de Bitdefender han hecho exactamente esto. Ionut Cernica ayudó al equipo de Facebook reportando la vulnerabilidad esta semana, al descubrir que usuarios ajenos podrían estar usando la función de Inicio de sesión en Facebook para cometer estafas.

Un fallo permite la suplantación de identidad en Facebook

El inicio de sesión en Facebook, como en otras redes sociales, es una alternativa muy utilizada hoy en día por lo cómoda que resulta. No solicita a los usuarios su nombre de usuario ni contraseña, pero a cambio pide derechos sobre la información contenida en nuestro perfil social elegido. Por eso, preferimos no utilizarla salvo en casos muy concretos.

Explotando una vulnerabilidad en el el plugin de inicio de sesión, el investigador de Bitdefender ha encontrado la forma de robar la identidad de un usuario, consiguiendo suplantar su identidad en Facebook. Sólo hay un “pero”: este usuario no debe contar previamente con una cuenta registrada en Facebook.

Las pruebas

Para llevar a cabo la comprobación, este experto utilizó dos cuentas de email:

Después creó una cuenta asociada a la víctima en Facebook, con la dirección mencionada.

Fallo en el inicio de sesión en Facebook 1

Tras registrarse en Facebook, alternó la cuenta anterior por la que el controlaba, la asociada al investigador: fbbugbounty1@gmail.com.

Un fallo permite la suplantación de identidad en Facebook

Tras refrescar la página, todo parecía indicar que la dirección de email de la víctima había sido validada, sin ninguna confirmación adicional.

Al intentar iniciar sesión mediante el Facebook Login, con la dirección de la víctima, en una web cualquiera, se le pidió confirmación de su propia dirección de correo, NO la de la víctima. Desde los ajustes de cuenta en facebook, la dirección de email de la víctima aparecía como el contacto principal, a pesar de que el investigador había confirmado únicamente su dirección propia: fbbugbounty1@gmail.com

Un fallo permite la suplantación de identidad en Facebook 2

Confirmé satisfactoriamente fbbugbounty1@gmail.com, pero en los ajustes de Facebook parecía no haber surtido efecto. Utilicé el inicio de sesión de Facebook una y otra vez y decidí cambiar la cuenta de contacto primaria desde la de la víctima a la mía, entonces las cambié de nuevo, para que la de la víctima (fbbugbounty2@gmail.com) fuese la primaria. Esto es un paso importante para reproducir el fallo.

Un fallo permite la suplantación de identidad en Facebook 3

En otra página web, Ionut utilizó el Inicio de sesión en Facebook para autenticarse como la víctima, con éxito. El sitio emparejó el email de la víctima -recuperado de Facebook- a la cuenta existente, permitiendo al atacante controlarla. Facebook está al corriente y solucionando el problema en estos momentos.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR