Un investigador especializado en la seguridad de páginas web ha descubierto recientemente un fallo grave de seguridad en Facebook. Según el investigador, la red social tiene un fallo gracias al cual se puede realizar el ataque «one-click». Dicha vulnerabilidad podría provocar que un usuario registrado en la red social y que haya iniciado sesión con su cuenta, pueda llevar a cabo la ejecución de código y poder acceder a páginas que a priori, únicamente deberían estar disponibles para los administradores de la red social. Antes de hacerlo público en el día de hoy, el investigador se lo comunicó a los responables de la red social y en forma de agradecimiento, la red social ha pagado una cantidad de 5.000 dólares. Os recomendamos leer nuestro tutorial sobre evitar rastreo de Facebook.
El ataque «one-click» consiste en utilizar un exploit para ejecutar comandos no autorizados utilizando una cuenta de usuario perteneciente al sitio web que posee la vulnerailidad.
Parece ser que después de haber añadido el App Center a Facebook, el sistema de verificación y que sería el encargado de evitar los ataques «one-click» en HTTP, nunca ha estado validado y por lo tanto su funcionamiento nunca ha sido correcto. Aprovechando ésto, cualquier usuario podría subir cualquier aplicación a la tienda de aplicaciones de la red social.
Un sistema de verificación mal configurado
En otras páginas web, los scripts no tienen acceso sobre esta herramienta y por lo tanto, no pueden generar peticiones válidas. Sin embargo, en Facebook esto no sucede así, y la herramienta en ningún momento verifica las peticiones que se realizan utilizando scripts, que en este caso sí tienen acceso.
Un «gracias» que ha costado 5.000 dólares
Después de ponerse en contacto con el investigador, la red social volvió a configurar el sistema de verificación de forma correcta y con motivo de gratitud obsequió al investigador con un cheque de 5.000 dólares. Un fallo de seguridad que a la red social le ha salido un poco caro, aunque teniendo en cuenta lo que podía haber sucedido en el App Center, lo que puede resultar caro le ha salido barato.
Mientras tanto, la seguridad de la red social de Mark Zuckerberg sigue estando cogida «con pinzas» y siguen apareciendo errores que en una red social de esta magnitud no deberían de existir.