Clicky

¿Cómo hackear cuentas de Facebook?

Hackear Facebook

Simplemente indica a tus objetivos que abran un enlace

Es 2019, y solo haciendo clic en una URL especialmente diseñada habría permitido a un atacante hackear tu cuenta de Facebook sin más interacción.

Un investigador de seguridad descubrió una vulnerabilidad crítica de falsificación de solicitud entre sitios (CSRF, por sus siglas en inglés) en la plataforma de redes sociales más popular que podría haber permitido a los atacantes secuestrar cuentas de Facebook simplemente engañando a los usuarios seleccionados para que hagan clic en un enlace.

El investigador, que utiliza el alias en línea "Samm0uda", descubrió la vulnerabilidad después de detectar un punto final defectuoso (facebook.com/comet/dialog_DONOTUSE/) que podría haber sido explotado para eludir las protecciones CSRF y la cuenta de la víctima.

"Esto es posible debido a un punto final vulnerable que toma otro punto final de Facebook seleccionado por el atacante junto con los parámetros y realiza una solicitud POST a ese punto final después de agregar el parámetro fb_dtsg", dice el investigador en su blog.

"Además, este punto final está ubicado bajo el dominio principal www.facebook.com, lo que facilita que el atacante engañe a sus víctimas para que visiten la URL".

Todo lo que el atacante debe hacer es engañar a las víctimas para que hagan clic en una URL de Facebook especialmente diseñada, como se menciona en su blog, diseñada para realizar varias acciones, como publicar cualquier cosa en su muro, cambiar o eliminar la imagen de su perfil, e incluso engañar a los usuarios para que eliminen su cuentas de Facebook completas.

Explotación con un solo clic para tomar el control completo de las cuentas de Facebook

Tomar el control total de las cuentas de las víctimas o engañarlas para que eliminen toda su cuenta de Facebook requiere algunos esfuerzos adicionales por parte del atacante, ya que las víctimas deben ingresar su contraseña antes de eliminar la cuenta.

Para hacer esto, el investigador dijo que requeriría que las víctimas visiten dos URL separadas, una para agregar el correo electrónico o el número de teléfono y otra para confirmarla.

Es "porque los puntos finales 'normales' utilizados para agregar correos electrónicos o números de teléfono no tienen un parámetro 'siguiente' para redirigir al usuario después de una solicitud exitosa", dice el investigador.

Sin embargo, el investigador aún hizo posible el control total de la cuenta con una única URL al encontrar los puntos finales donde se encuentra el parámetro "siguiente" y autorizar una aplicación maliciosa en nombre de las víctimas y obtener su token de acceso a Facebook.

Con acceso a los tokens de autenticación de las víctimas, la vulnerabilidad agrega automáticamente a su cuenta una dirección de correo electrónico controlada por un atacante, permitiendo que este se haga cargo de las cuentas simplemente restableciendo sus contraseñas y bloqueando a los usuarios legítimos de sus cuentas de Facebook.

A pesar de que el hackeo completo de la cuenta de Facebook involucró varios pasos, el investigador dijo que la hazaña completa con un solo clic hubiera permitido a cualquier usuario malintencionado secuestrar su cuenta de Facebook "en un abrir y cerrar de ojos".

Dichos ataques de adquisición de cuenta pueden mitigarse si se ha habilitado la autenticación de dos factores para la cuenta de Facebook, evitando que los piratas informáticos inicien sesión en las cuentas hasta que verifiquen la contraseña de 6 dígitos enviada a el dispositivo móvil.

Sin embargo, cualquier mitigación no puede impedir que los piratas informáticos realicen algunas acciones en tu nombre aprovechando esta vulnerabilidad, como cambiar o eliminar las fotos o álbumes de tu perfil o publicar algo en tu muro.

Samm0uda reportó la vulnerabilidad a Facebook con los detalles de su exploit el 26 de enero. El gigante de los medios sociales reconoció el problema y lo abordó el 31 de enero, recompensando al investigador con $ 25.000 como parte del programa de recompensas de errores de Facebook.

Jesus_Caceres