Una vulnerabilidad en el proceso de login pone en peligro las cuentas de los usuarios

También conocido como social login, es cada vez más común entre los usuarios y los servicios de Internet. La comodidad de no tener la necesidad de crear una cuenta para utilizar un servicio y utilizar la de otro ya existente puede resultar un peligro para los usuarios, sobre todo ahora que se ha descubierto una vulnerabilidad en este sistema. De momento, los servicios afectados por este problema son LinkedIn, Amazon o MYDIGIPASS, pero no se descarta que haya más afectados.
Para todos aquellos que aún no hayan entendido en qué consiste este sistema, vamos a utilizar como ejemplo el servicio de música en streaming Spotify. Al intentar hacer uso de este tenemos dos opciones: o crear una cuenta de Spotify o bien utilizar una existente en la red social Facebook. Utilizar la segunda sería lo que se conoce en la actualidad como social login.
Los investigadores que han descubierto el problema de seguridad han confirmado que es muy fácil utilizar este para hacerse con el control de las cuentas, sin embargo, han concretado que es necesario que se den una serie de circunstancias para que el resultado sea satisfactorio.
El fallo de seguridad detectado consiste en que muchos servicios generan el token de acceso a pesar de no haberse verificado la cuenta de correo, es decir, el resultado de utilizar estos credenciales en el inicio de sesión en la red social o servicio sería infructuoso pero la cuenta ya se ha creado. Por lo tanto, al no haberse verificado la cuenta de correo otro usuario podría utilizar esa misma cuenta de correo para crear otra cuenta, sin embargo, esta tendría los mismo datos que se han introducido con anterioridad. Podemos ver fácilmente si un proceso de Windows es peligroso.
Es decir, el acceso a una cuenta ya creada se podría haber tomando como herramienta una cuenta de correo no verificada. La forma de conocer esta cuenta de correo sería utilizando un ataque Man-in-the-Middle, algo que no resulta fácil de hacer, a no ser que te encuentres en una WiFi pública o compartida. En otro artículo hablamos del fallo del login en Chrome.
Los encargados de descubrir este fallo de seguridad han creado un vídeo donde se muestra todo lo que hemos comentado con anterioridad:
Facebook y Google+ podrían estar afectadas
Además de los tres servicios mencionados con anterioridad, parece que las cuenta de la red social Facebook y Google podrían estar afectadas con este problema. El grupo de investigadores remitieron esta información a los responsables de los diferentes servicios y se sabe que algunos han resuelto el problema, o al menos lo han mitigado, pero no ha trascendido la información sobre cuáles lo han hecho.