Estamos en 2019, y con solo hacer clic en una URL especialmente diseñada, un atacante podría haber pirateado su cuenta de Facebook sin más interacción.
Un investigador de seguridad descubrió una vulnerabilidad crítica de falsificación de solicitudes entre sitios (CSRF) en la plataforma de redes sociales más popular que podría haber permitido a los atacantes secuestrar cuentas de Facebook simplemente engañando a los usuarios objetivo para que hicieran clic en un enlace.
El investigador, que utiliza el alias en línea «Samm0uda», descubrió la vulnerabilidad después de detectar un punto final defectuoso (facebook.com/comet/dialog_DONOTUSE/) que podría haber sido explotado para eludir las protecciones CSRF y apoderarse de la cuenta de la víctima.
«Esto es posible debido a un punto final vulnerable que toma otro punto final de Facebook seleccionado por el atacante junto con los parámetros y realiza una solicitud POST a ese punto final después de agregar el parámetro fb_dtsg», dice el investigador en su blog.
«Además, este punto final se encuentra bajo el dominio principal www.facebook.com, lo que facilita que el atacante engañe a sus víctimas para que visiten la URL».
Todo lo que el atacante debe hacer es engañar a las víctimas para que hagan clic en una URL de Facebook especialmente diseñada, como se menciona en su blog, diseñada para realizar varias acciones, como publicar cualquier cosa en su línea de tiempo, cambiar o eliminar su foto de perfil e incluso engañar a los usuarios para que eliminen su cuentas enteras de Facebook.
Explotar con 1 clic para apoderarse por completo de las cuentas de Facebook
Tomar el control total de las cuentas de las víctimas o engañarlas para que eliminen toda su cuenta de Facebook requiere algunos esfuerzos adicionales por parte del atacante, ya que las víctimas deben ingresar su contraseña antes de que se elimine la cuenta.
Para hacer esto, el investigador dijo que requeriría que las víctimas visiten dos URL separadas, una para agregar el correo electrónico o el número de teléfono y otra para confirmarlo.
Es’ porque el’normal‘los puntos finales utilizados para agregar correos electrónicos o números de teléfono no tienen un’próximo‘parámetro para redirigir al usuario después de una solicitud exitosa’, dice el investigador.
Sin embargo, el investigador aún hizo posible la toma de control de la cuenta completa con una sola URL al encontrar los puntos finales donde está presente el parámetro ‘siguiente’ y autorizar una aplicación maliciosa en nombre de las víctimas y obtener su token de acceso a Facebook.
Con acceso a los tokens de autenticación de las víctimas, el exploit agrega automáticamente una dirección de correo electrónico controlada por el atacante a su cuenta, lo que permite que el atacante tome el control total de las cuentas simplemente restableciendo sus contraseñas y bloqueando a los usuarios legítimos de sus cuentas de Facebook.
Aunque el hack completo de toma de control de la cuenta de Facebook involucró varios pasos, el investigador dijo que el exploit completo con un solo clic habría permitido que cualquier usuario malicioso secuestrara su cuenta de Facebook «en un abrir y cerrar de ojos».
Dichos ataques de apropiación de cuentas se pueden mitigar si ha habilitado la autenticación de dos factores para su cuenta de Facebook, evitando que los piratas informáticos inicien sesión en sus cuentas hasta que verifiquen el código de acceso de 6 dígitos enviado a su dispositivo móvil.
Sin embargo, ninguna mitigación podría evitar que los piratas informáticos realicen algunas acciones en su nombre aprovechando esta vulnerabilidad, como cambiar o eliminar sus fotos de perfil o álbumes o publicar cualquier cosa en su línea de tiempo.
Samm0uda informó la vulnerabilidad con los detalles de su hazaña a Facebook el 26 de enero. El gigante de las redes sociales reconoció el problema y lo abordó el 31 de enero, recompensando al investigador con $ 25,000 como parte del programa de recompensas por errores de Facebook.