Bitdefender ha descubierto una vulnerabilidad en Facebook que permite el acceso a cualquier cuenta de usuario a través de una simple manipulación del inicio de sesión. El atacante fue capaz de obtener acceso a la información personal, lista de contactos para una posible distribución de malware e información de pago de usuarios (que permite realizar compras en nombre del usuario).

Vector de ataque

El vector de ataque en este caso (inicios de sesión con redes sociales) son una alternativa a la autenticación tradicional. Esta forma de acceso ofrece a los usuarios una manera conveniente de acceder a sus cuentas web sin introducir su nombre de usuario y contraseña; muchos sitios web ofrecen acceso a través de Facebook, LinkedIn, Twitter o Google+. Investigadores de Bitdefender identificaron un método para robar la identidad de un usuario y acceder a su cuenta usando el plugin de sesión de Facebook.

Ionut Cernica, analista de vulnerabilidades por Bitdefender e investigador detrás del descubrimiento de la falla, afirma: "Esta es una grave vulnerabilidad, permite a los atacantes conectarse en la mayoría de los sitios web que ofrecen inicio de sesión en Facebook. Esto significa que un atacante puede efectuar pagos en nombre de un usuario en sitios de comercio electrónico, por ejemplo".

Detalles del descubrimiento

El investigador de Bitdefender omitió con éxito el paso de confirmación, cuando por lo general se requiere al registrar una nueva dirección de correo electrónico de Facebook. Creó una cuenta de Facebook utilizando la dirección de correo electrónico del usuario y, durante el proceso de registro, cambió la dirección de correo electrónico por una bajo su control.

Para que el ataque tenga éxito, la dirección de correo electrónico del usuario no debe estar registrada en Facebook. Como la mayoría de los usuarios de Internet tienen más de una dirección de correo electrónico publicada en línea, esta información presenta un pequeño desafío para el atacante en identificar y aprovechar esa información con el fin de obtener acceso a cuentas de Facebook.

Para verificar la identidad de un usuario sin necesidad de exponer sus credenciales, es posible iniciar sesión con Facebook utilizando el protocolo OAuth, a través del cual se autoriza a Facebook para compartir información del usuario con sitios web de terceros. Cuando el investigador de Bitdefender intentó acceder a través del botón "Facebook Login" en un sitio separado, se le preguntó para confirmar su propia dirección de correo electrónico y no la del usuario. En la opción “Configuración de cuenta” en Facebook, la dirección del usuario fue el contacto principal, a pesar de que el investigador sólo había confirmado su cuenta personal.

Ionut Cernica añade: "Usé el inicio de sesión en --Facebook y decidí cambiar el contacto principal de la dirección del usuario a la mía, luego cambié de nuevo para modificar la cuenta de usuario a la primaria. Este es un paso importante en la reproducción de la cuestión."

Facebook reparó la vulnerabilidad después de la notificación por parte del equipo de seguridad de Bitdefender.