Facebook: el servicio de empleados tiene fallos de seguridad

Escrito por Adrián Crespo
Redes Sociales
0

Continúa la marcha triunfal de la red social de Mark Zuckerberg por este nuevo. Hasta el día de hoy se lleva el premio como plataforma o servicio con más problemas de seguridad. Sin ir más lejos ayer hablamos de una vulnerabilidad que permitía grabar la cámara web de un usuario sin su conocimiento. Esta vez ha sido el servicio destinado a los empleados de Facebook gracias al cual pueden transferir archivos de forma segura. Parece ser que el problema radica en poder suplantar la identidad de los usuarios gracias a una cookie y un correo electrónico.

Aunque muchos de vosotros habréis por lo menos oído hablar de este servicio seguro que muchos de vosotros desconocíais la existencia de la página https://files.fb.com. Se trata de un servicio de transferencia segura de archivos que únicamente se encuentra disponible para  aquellas personas que trabajan en la red social.

Desde luego que Facebook no ha comenzado el año con lo que se puede decir “buen pie”. Y es que a la red social se le acumulan los problemas de seguridad. Primero fue con una aplicación diseñada para que los usuario con cuenta en la red social pudiesen mandar mensajes de felicitación. Sin embargo, hubo un problema con la privacidad de la aplicación y  miles de mensajes fueron publicados por error. En el día de ayer conocíamos una vulnerabilidad en la aplicación Flash que controlaba y que permitía sin el consentimiento del usuario que otro realizase una grabación de las imágenes de la cámara web. Pues esta vez la aplicación aceptada, o mejor dicho el servicio, es el de transferencia segura de archivos de los empleados.

¿Dónde se encuentra el problema?

Todo parece indicar que el problema se encuentra en el sistema de recuperación de contraseñas que posee un sistema de seguridad bastante débil o con un fallo de seguridad bastante grave: utilizar como validación los datos de una cookie. Como bien sabéis las cookies son archivos utilizados por los navegadores y las páginas web para establecer un cierto control sobre la navegación de los usuarios, pero también pueden estar diseñadas para almacenar información importante como la contraseña o usuario de inicio en servicios de internet.

Facebook_fallo_seguridad_empleados

En este caso, cuando el usuario recurre a la recuperación de contraseña, cada usuario posee una cookie con un id asociado a la cuenta de correo electrónico con las que se registró. Cualquier persona que sea capaz de de hacerse con la ID de la cookie, modificando el correo electrónico sería capaz de robar la cuenta de usuario de este servicio de Facebook.

A pesar de que la contraseña aparece en la cookie, ésta sólo es válida si atacante la utiliza para restablecer la contraseña siendo imposible acceder con esta contraseña utilizando la vía normal o incluso copiando los valores de la cookie.

¿De quién es la responsabilidad?

En este caso digamos que la culpa no es directamente de los responsables de la red social sino que más bien es del sistema de validación de la compañía encargada de prestar el servicio, aunque de forma involuntaria ésta se vuelve a ver afectada por un problema de seguridad.

Fuente | The Hacker News