Clicky

Las consecuencias de la última violación de datos de Facebook podrían ser enormes

Categoría: Seguridad
Visitas: 1667
Facebook dislike

Los usuarios deben ser extremadamente cautelosos con las actividades sospechosas en todas sus cuentas

Hace menos de una semana, Facebook anunció que atacantes desconocidos lograron unir tres errores que afectaban a la plataforma de redes sociales, lo que les permitió robar tokens de acceso de al menos 50 millones de usuarios, y probablemente más.

Los tokens permitieron a los atacantes hacerse cargo de las cuentas de Facebook de las víctimas, pero también podrían haber sido utilizados para iniciar sesión en las cuentas que las víctimas abrieron en otros sitios y aplicaciones web utilizando el Inicio de sesión de Facebook, es decir, usar Facebook como un IdP, (proveedor de identidad).

Las consecuencias del incidente podrían ser enormes

Un grupo de investigadores de la Universidad de Illinois en Chicago hizo pública recientemente [PDF] la posibilidad de que otras cuentas se vieran comprometidas de esta manera.

Investigaron cómo implementan varios servicios el inicio de sesión único (Single Sign-On - SSO) y señalaron una serie de nuevos ataques que aprovechan el inicio de sesión único para mantener el control a largo plazo de las cuentas de usuario.

Estos ataques son posibles gracias a la implementación inadecuada de la especificación de SSO por parte de la mayoría de las partes confiables, ya que no requieren que los usuarios (o atacantes) vuelvan a ingresar (o sus víctimas) su nombre de usuario y contraseña de Facebook durante el proceso de SSO.

Algunas otras cosas que los investigadores descubrieron (y que una de ellas, Jason Polakis, resumió amablemente en este hilo de Twitter):

• En Facebook, la sesión del atacante no aparece en la lista de sesiones activas si los atacantes permanecen conectados durante menos de 60 minutos (o no lo hicieron cuando realizaron su experimento).

• Los atacantes pueden usar el token de Facebook para crear cuentas para el usuario en sitios web donde no tienen una cuenta (útil para los ataques de spam/phishing/robo de identidad), o pueden esperar a que los usuarios creen una cuenta en esos sitios y la comiencen a usar ellos en el futuro.

• Los atacantes pueden minimizar su huella digital de estos ataques y mantener el acceso a las cuentas del usuario que no son de Facebook, incluso si el usuario cambió la contraseña o eliminó las sesiones activas (donde se muestran).

"Nuestro análisis revela que el 89.5% de las [95 más populares] partes confiadas que evaluamos no ofrecen opciones para invalidar sesiones activas. Además, revocar manualmente el acceso y cambiar las contraseñas es inefectivo en muchos RPs y es prácticamente inviable ya que no se puede escalar; debido a los ataques preventivos de secuestro de cuentas, el usuario también tendría que comprobar cada nuevo RP que use en el futuro", anotaron.

"Para el 74.7% de los RP, los usuarios no tienen forma de recuperarse de los ataques. Esto refleja las deficiencias de los esquemas de SSO y el estado fracturado del ecosistema; sin un proceso para revocar universalmente el permiso en todos los RPs e invalidar simultáneamente todas las sesiones existentes en cada cuenta de RP asociada con la cuenta IdP comprometida, el SSO facilita que los atacantes mantengan un control persistente y generalizado sobre las cuentas de las víctimas".

Polakis también señaló la urgente necesidad de que los proveedores importantes aborden mejor las deficiencias de los actuales esquemas SSO, una evaluación más completa de las implementaciones de autenticación en la práctica y la adopción de su defensa propuesta: una extensión compatible con versiones anteriores de OpenID Connect que agrega soporte para la revocación de autenticación universal.

error en la página de Facebook

Las últimas noticias de Facebook

Como Facebook está jugando sus cartas muy cerca de su pecho, ha sido difícil para algunas de las partes confiadas, como Tinder, ver si se han visto afectadas por esta violación las cuentas de sus usuarios.

Muchas empresas han dicho que montaron una investigación al respecto.

Facebook dijo a la CNN que los desarrolladores de aplicaciones que usan el inicio de sesión en Facebook pueden detectar las acciones de cierre de sesión forzadas que realizaron el viernes y proteger a las personas que usan sus aplicaciones. Además, pronto proporcionarán recomendaciones adicionales para desarrolladores y usuarios.

Facebook también publicó el martes una actualización sobre la situación y dijo que han analizado sus registros para todas las aplicaciones de terceros instaladas o registradas durante el ataque que descubrieron la semana pasada, y que aún no han encontrado ninguna evidencia de que los atacantes hayan accedido a alguna aplicación mediante el inicio de sesión de Facebook.

"Todos los desarrolladores que utilizan nuestros SDK de Facebook oficiales, y todos aquellos que han comprobado regularmente la validez de los tokens de acceso de sus usuarios, fueron protegidos automáticamente cuando restablecimos los tokens de acceso de las personas. Sin embargo, debido a una gran cantidad de precauciones, ya que algunos desarrolladores pueden no usar nuestros SDK, o verificar regularmente si son válidos los tokens de acceso a Facebook, estamos creando una herramienta para permitir a los desarrolladores identificar manualmente a los usuarios de sus aplicaciones que pueden haber sido afectados, para que puedan cerrar sesión", compartió Guy Rosen, vicepresidente de gestión de productos de Facebook.

Otavio Freire, director de tecnología de la empresa de protección de riesgos digitales SafeGuard Cyber, señaló que parece que Facebook está afirmando que aquellos que usaron la funcionalidad pero no utilizaron el SDK no se adhirieron a los términos de servicio que limitarían la responsabilidad de Facebook.

Tampoco sabemos cuándo ocurrió el ataque y cuánto duró. Una de las fallas explotadas se introdujo en julio de 2017 por lo que, en teoría, los atacantes podrían haber comenzado a explotarla poco después.

Freire también señaló que los usuarios de las aplicaciones que no usan el SDK de Facebook no han sido protegidos por el restablecimiento de tokens de acceso de Facebook, y es probable que aún sean vulnerables al secuestro de cuentas (si esos servicios no han cerrado las sesiones activas con las credenciales de inicio de sesión de Facebook).

"Seguimos mirando el hack para las implicaciones. El hecho de que estas tres funciones/errores estén aislados y explotados no significa que no haya otras combinaciones y esas combinaciones podrían haber existido durante años", agregó.

Se abre un mundo de riesgos

Polakis señaló que "este incidente tiene implicaciones de seguridad y privacidad mayores y más duraderas de lo que se informa actualmente, y los usuarios deben ser extremadamente cautelosos con las actividades sospechosas en todas sus cuentas".

Freire también señaló los riesgos que enfrentan las empresas debido a esta violación:

• Los atacantes podrían haber usado los tokens robados para obtener acceso a todas las páginas de la cuenta de marca de una corporación, lo que les permitió ver todas las relaciones de agencia de marca, planes tácticos, historial de mensajes privados y contenido previo al lanzamiento. Además, podrían haber accedido a las cuentas personales de los directores ejecutivos y otros miembros de la empresa y utilizar la información obtenida de ellos para chantaje, ingeniería social o ataques de phishing contra empleados de la empresa.

• Los atacantes podrían crear nuevas cuentas suplantando a la empresa o empleados en las redes sociales/servicios web donde la empresa no tiene presencia oficial.