Vulnerabilidad en restablecimiento de claves de #Facebook

ESET Latinoamerica informa que un investigador de seguridad independiente, Sow Ching Shiong, descubrió una vulnerabilidad que afectaba a Facebook y permitía restablecer la contraseña de un usuario sin conocer la clave original.

Regularmente, en servicios de la naturaleza de Facebook, donde un usuario desee restablecer su contraseña, se le solicita la clave original para poder establecer una nueva. En el caso de Facebook, la vulnerabilidad consistía en la posibilidad de que una persona, podría establecer una nueva contraseña sin conocer la original.

Para explotar esta vulnerabilidad, el atacante podía acceder a https://www.facebook.com/hacked donde directamente era redirigido al sitio para establecer la nueva contraseña. A continuación, puede observarse una captura donde se iniciaba el proceso de recuperación:

Facebook Vulnerabilidad sin contraseña

Si se procedía, la siguiente instancia era un sitio que contenía un formulario donde se solicitaba la nueva contraseña para el correspondiente usuario. A continuación puede observarse una captura del mismo:

Facebook Vulnerabilidad formulario de recuperación

Luego de que esta vulnerabilidad fue reportada, Facebook logró repararla por lo que, actualmente, los usuarios se encuentran seguros. De esta forma, ya no es posible restablecer una nueva contraseña sin conocer la original. A continuación se adjunta una captura del formulario solicitando nuevamente la autenticación para proceder con el restablecimiento de la contraseña:

Facebook Vulnerabilidad contraseña antigua

Recordemos que en tiempos anteriores, Facebook fue uno de los principales blancos de ataque. De esa manera, es importante que el usuario también considere la seguridad de Facebook desde su propia cuenta.

Fuente: ESET – Enlace

Anuncios

Acerca de Dirección de Protección de Datos Personales
La Defensoría del Pueblo, por ley 1845, ha sido designado órgano de control del asiento, uso y difusión de las bases de datos personales del sector público de la Ciudad de Buenos Aires garantizando el derecho al honor, la intimidad y la autodeterminación informativa. Con el objeto de cumplir con las funciones asignadas, la Defensoría del Pueblo ha creado el Centro de Protección de Datos Personales. Toda persona que presuma o tenga la certeza de que sus datos figuran en alguno de los bancos de datos personales puede ejercer su derecho de información, acceso, rectificación, actualización o supresión. Estamos en Piedras 574, 5º piso, C.A.B.A., teléfono 54-11-4338-4900, int. 7451 / 7452. Mail: cpdp@defensoria.org.ar, sitio web: www.cpdp.gov.ar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: