#Facebook soluciona una nueva vulnerabilidad

nadia-oauth-diamond-dashDe nuevo estamos ante un fallo de seguridad en Facebook que podría hacer que un atacante tomase el control de cualquier cuenta. Hace unos meses vimos cómo, aprovechándonos de un error en el procedimiento de restablecimiento de contraseñas, se podía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior, lo que en la práctica llevaría  a acceder a cualquier cuenta.

En esta ocasión, el procedimiento para acceder a cualquier cuenta de esta red social era un poco más elaborado, pero igualmente exitoso. Antes que nada hay que resaltarque esta vulnerabilidad ya se encuentra solucionada gracias a que el investigador Nir Goldshlager, quien la descubrió, avisó a los desarrolladores de Facebook para que tomaran las medidas pertinentes, algo que le honra.

Con respecto al fallo en sí, este se resume en la obtención de los tokens de acceso de los usuarios cuando estos acceden a una web (usando cualquier navegador), sin necesidad de que las víctimas tengan instalada ninguna aplicación en concreto. Al conseguir estos tokens, el atacante podría acceder sin restricciones a las cuentas comprometidas hasta que la víctima cambie su contraseña.

Según ha publicado este investigador en su web, OAuth se usa en Facebook para realizar comunicaciones entre las aplicaciones y los usuarios. Normalmente, los usuarios deben permitir/aceptar la petición de la aplicación para acceder a su cuenta antes de que esta comunicación se realice. Hemos de tener en cuenta que cada aplicación de Facebook puede pedir permisos diferentes.

Leer más de esta entrada

Un #cibercriminal convicto hackea la red de la prisión al apuntarse a una clase de informática

isis-prisonEl adolescente Nicholas Webber dirigió el infame portal del cibercrimen GhostMarket.net, que vendía información de tarjetas de crédito robadas y ofrecía tutoriales sobre como cometer fraudes online.

Con 8.500 miembros, GhostMarket se convirtió en la web más grande que desmanteló la policía británica.

Se cree que las actividades relacionadas con GhostMarket están detrás de fraudes en todo el mundo, con más de 9 millones de euros robados de más de 65 mil cuentas bancarias.

Los medios de comunicación se hicieron eco del ostentoso estilo de vida que disfrutaba Nicholas Weber, el creador de Ghost Market, quien acababa de cumplir 18 años cuando lo arrestaron en octubre de 2009.

Webber fue condenado a 5 años de prisión en 2011, y lo enviaron a HM Prison Isis en el sudeste de Londres.

Normalmente esperarías que su carrera como cibercriminal terminara ahí, pero tristemente no ha sido el caso.

Según el Daily Mail, Webber consiguió que lo admitieran en las clases de informática de la cárcel, y desde ahí se consiguió colar en el sistema principal.

Leer más de esta entrada