Un fallo en la API de Facebook permitía hackear cualquier cuenta
Las redes sociales a menudo manejan una gran cantidad de datos personales de usuarios, por lo que generalmente son objetivo de numerosos hackers y piratas informáticos que están buscando constantemente errores en ellas que permitan obtener información de las víctimas, en el caso de los piratas informáticos o reportar los fallos a los desarrolladores a cambio de la «recompensa» que tenga establecida la compañía en el caso de los hackers e investigadores de seguridad.
Stephen Sclafani es un investigador de seguridad que ha descubierto un fallo en la programación de REST API, predecesora de la actual GRAPH API, que permitía controlar cualquier usuario utilizando únicamente su ID y sin necesitar ninguna clave para ello. Este investigador consiguió hacer uso de esta API, pese a estar ya descontinuada, con la que actualizó el estado de otro usuario en su nombre sin dejar rastro del ataque. Esto era posible debido a que la función de la API no tenía un final establecido y permitía a los usuarios modificar sus parámetros sin demasiada dificultad.
Explotando este fallo también se ha podido acceder a los mensajes privados de la víctima, ver la dirección de correo, crear notas, subir fotos, etiquetar a contactos, etc. El control que se obtenía sobre la cuenta era prácticamente el mismo que el del dueño de la misma.
Este fallo ya fue solucionado por Facebook el pasado mes de abril, sin embargo, no se ha dado a conocer hasta ahora. Facebook premió a este investigador de seguridad con 20.000 dólares gracias al programa Bug Bounty, que premia a los desarrolladores e investigadores que descubran importantes fallos de seguridad en un software y lo reporten a los administradores en vez de vender la información en el mercado negro, como harían los piratas informáticos, para que otros puedan aprovecharse de dicha vulnerabilidad.
Podemos conocer más información técnica sobre este fallo en el blog del desarrollador.
¿Qué opinas de la vulnerabilidad de Facebook? ¿Crees que aún habrá fallos tan graves como este que comprometan la seguridad de los usuarios?
Fuente: E Hacking News