Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Facebook soluciona una vulnerabilidad en Instagram
Facebook solucionó un fallo identificado este mes en el cual un atacante podía afectar a un 4% de cuentas activas, al poder bloquear aproximadamente 1 millón de cuentas de Instagram.
El consultor de seguridad Arne Swinnen descubrió esta vulnerabilidad en que se involucran dos fallos: una combinación de la falta de autenticación así como una referencia insegura a objetos. De acuerdo a una publicación en su blog, Swinnen dijo que Facebook reparó el fallo en un lapso de 24 horas.
Swinnen identificó diversos fallos en la aplicación para compartir imágenes, pero en esta ocasión trataba de verificar una de ellas empleando cuentas de prueba a través de la página web cuando puso atención a la URL. La página le permitía verificar su cuenta al enviar un código a su correo electrónico, sin embargo en la URL observo que se incluía un ID de usuario.
Cuando Swinnen reemplazó su ID usuario por otro descubrió la falta de autenticación utilizada por el servicio. Al ingresar diversos ID correctos Instagram le permitió restablecer el correo electrónico asociado a una cuenta temporalmente bloqueada. Él podría reestablecer la contraseña de diversas cuentas logrando tener total acceso, aproximadamente a un 0.17% de los usuarios.
Continuó con la navegación e insertó varios ID con lo que fue capaz llevar esto un paso más arriba. Otro factor de verificación que usa la aplicación le permitió obtener el número telefónico asociado a la cuenta e incluso le permitía cambiarlo. Al hacerlo, podría llevar a Instagram al enviarle un mensaje y restablecer la contraseña. Extrapolando su prueba de concepto determinó que cerca del 4% de cuentas activas, aproximadamente 1 millón, pudieron haber sido afectadas.
“Después de asociar un nuevo número telefónico, un atacante puede resetear la contraseña por medio de un SMS y conseguir un acceso total a una cuenta”, Swinnen escribió. “Es un gran impacto en la seguridad... Por medio de una verificación rápida se supo que se trataban de cuentas que habían estado inactivas durante un par de semanas y de los cuales, muchos de ellos, tenían una buena cantidad de seguidores en Instagram."
Facebook solucionó el problema al requerir una previa autenticación en las páginas que permite a los usuarios actualizar su información personal, tales como el correo electrónico y número telefónico.
