Clicky

Hacker revela cómo podría haber robado múltiples cuentas de Facebook

hack Facebook

Cómo puedes proteger mejor tu cuenta de Facebook

¿Cómo robar una cuenta de Facebook? Esa es, posiblemente, la pregunta más frecuente hoy en el Internet. Aunque la solución es difícil de encontrar, un hacker de sombrero blanco acaba de probar lo fácil que es hackear múltiples cuentas de Facebook con algunos conocimientos básicos de informática.

Tu cuenta de Facebook puede ser hackeada, no importa qué tan fuerte sea la contraseña o la cantidad de medidas de seguridad adicionales que hayas tomado. No es broma!

Gurkirat Singh desde California descubrió recientemente una laguna en el mecanismo de restablecimiento de contraseña de Facebook que podría haber dado a los hackers el acceso completo a la cuenta de Facebook de la víctima, permitiéndoles ver las conversaciones de mensajes y datos de tarjetas de pago, publicar cualquier cosa y hacer lo que el titular de la cuenta real puede hacer.

El vector de ataque es simple, aunque la ejecución es bastante difícil. La cuestión, dice Gurkirat (@GurkiratSpeca), reside en realidad en la forma en que Facebook nos permite restablecer la contraseña. La red social utiliza un algoritmo que genera un código aleatorio de 6 dígitos - eso son 106 = 1.000.000 posibles combinaciones - que no cambian hasta que llega a uno "usado" (si lo solicitas desde mbasic.facebook.com ).

"Esto posiblemente podría significar que si 1 millón de personas solicitan una contraseña dentro de un corto período de tiempo tal que nadie utiliza su código para restablecer la contraseña, a continuación, la persona 1.000.001 al solicitar un código recibirá un código de acceso que ya ha sido asignado a alguien del lote", explica Gurkirat en una entrada de blog.

¿Cómo robar múltiples cuentas de Facebook?

Gurkirat recolectó por primera vez los ID de Facebook válidos al hacer consultas a la API de Facebook Graph comenzando con 100.000.000.000.000, ya que los ID de Facebook son generalmente de 15 dígitos de largo y luego visitó www.facebook.com/[ID] con un número de identificación válido en lugar de [ID].

Una vez introducido, la URL redirige automáticamente y se cambia el ID del usuario por el nombre de usuario de Facebook. De este modo, en primer lugar, fue capaz de hacer una lista de 2 millones de nombres de usuario de Facebook válidos.

"Informé por primera vez de este error el 3 de mayo de 2016, pero Facebook no creía que podría haber sido posible dicha ejecución a gran escala. Ellos querían la prueba", dijo Gurkirat a The Hacker News.
"Así que pasé cerca de un mes aprendiendo y construyendo la infraestructura para llegar a un lote de 2 millones de usuarios de Facebook. Entonces volví a presentarles este error y estuvieron de acuerdo que de hecho era un problema".

Luego, utilizando un script, cientos de servidores proxy y varios agentes de usuario al azar, Gurkirat inició automáticamente las solicitudes de restablecimiento de contraseña para esos 2 millones de usuarios, asignando a cada uno un código de restablecimiento de contraseña de 6 dígitos, consumiendo así la gama completa de 6 dígitos. Gurkirat luego recogió al azar un número de 6 dígitos, por ejemplo 338625, y comenzó el proceso de restablecimiento de contraseña utilizando un script de ataque de fuerza bruta contra todos los nombres de usuario en su lista, con la esperanza de que este número había sido asignado por Facebook a alguien en su lista de 2 millones de nombres de usuario.

ataque de fuerza bruta a Facebook

Gurkirat ejecutó prácticamente este script y logró encontrar un código de restablecimiento de contraseña correcto y en combinación con el nombre de usuario le permitió restablecer la contraseña y secuestrar la cuenta de Facebook de un usuario aleatorio.

Aunque Facebook ha parcheado el fallo tras ser informado por Gurkirat y le ha recompensado con $ 500 (eso es poco que menos), Gurkirat tiene duda de que el parche no sea "lo suficientemente fuerte como para mitigar esta vulnerabilidad".

"Nunca me hubiera imaginado que una empresa tan grande como Facebook sería susceptible a una enorme potencia de cálculo. La eficacia del error que encontré se basó en sólo eso", dijo Gurkirat a Hacker News.
"Se me informó por parte de Facebook que ya tienen aplicado el parche y que han comenzado a estrangular agresivamente por dirección IP. Dado que un grupo mucho mayor de direcciones IP pueden simular un flujo de red global combinada con un poco de ingeniería social, me queda la duda de si su parche es lo suficientemente fuerte como para mitigar esta vulnerabilidad". Sin embargo, Facebook proporciona una capa adicional de seguridad para proteger nuestras cuentas contra este tipo de ataques.

Cómo puedes proteger tu cuenta de Facebook:

Habilitar la Aprobaciones de inicio de sesión:

Se recomienda a los usuarios permitir "Iniciar sesión con aprobaciones" como una capa adicional de seguridad a fin de evitar que las cuentas de Facebook sean vulnerables por este tipo de ataques.

Facebook, Habilitar la Aprobaciones de inicio de sesión

Con Aprobaciones de inicio de sesión en ON, Facebook te enviará un código de seguridad de 6 dígitos a través de una mensaje de texto a tu teléfono celular registrado si alguien trata de acceder a su cuenta de Facebook desde un nuevo ordenador o dispositivo o un navegador web diferente.

Por lo tanto, incluso si se introducen por un atacante tu nombre de usuario y contraseña de Facebook, todavía será necesario para acceder a tu cuenta el código de seguridad de 6 dígitos que ha sido enviado a tu teléfono, evitando que los hackers accedan a tu cuenta.

Habilitar la entrada de Alertas de inicio de sesión:

Facebook también ofrece una función de seguridad, "Alertas de inicio de sesión", que envía un correo electrónico o un SMS cada vez que se sospecha que un usuario no autorizado accede a tu cuenta. Si se accede a una cuenta de Facebook desde un dispositivo remoto, Facebook envía una alerta de correo electrónico o SMS. Si eso es un acceso no autorizado, se pueden seguir rápidamente los pasos que se indican en el correo electrónico para deshabilitar el acceso de dicho dispositivo.

Facebook, Habilitar la entrada de Alertas de inicio de sesión

Por último utiliza un Administrador de Contraseñas: Por lo general, debes de seguir los consejos para tener una contraseña segura, única, para cada cuenta en línea.

En un próximo artículo revisaremos algunos de los mejores gestores de contraseñas que ayudan a entender la importancia de un administrador de contraseñas y elegir uno adecuado de acuerdo a tus requerimientos.

Jesus_Caceres