Facebook lo hizo a tiempo. Solucionó una potencial falla que podría haber expuesto información de sus usuarios. La vulnerabilidad fue hallada por Ron Masas, investigador de Imperva, en mayo. En ese entonces alertó a la compañía sobre este incidente, que ya fue corregido.
Se trata de un ataque de tipo CSRF que hace que se ejecuten acciones no deseadas en una aplicación en la que el usuario está autenticado. El ataque se basa en una vulnerabilidad de Facebook y de Chrome, según remarcó el investigador.
Para que el ataque funcione, un usuario de Facebook, luego de haber iniciado sesión en su perfil, debe hacer clic en un sitio malicioso desde Chrome. Así, el cibercriminal podría abrir una nueva ventana emergente y hacer una serie de consultas para extraer información personal, tal como se muestra en el video.
Según se explica en el blog de Imperva, esto permitiría extraer información personal de los usuarios y de sus amigos. El atacante podría saber los gustos de los usuarios, la ubicación geográfica de las fotos o incluso buscar si se publicaron posteos con determinados textos.
Facebook aseguró que el error se resolvió y que no identificaron que se hubiera explotado esta vulnerabilidad. Además, destacaron que este problema va más allá de Facebook y que podría afectar también a otras aplicaciones web, según publicó The Verge.
Los detalles técnicos:
"A lo largo del proceso de investigación de Chrome, navegué por los resultados de búsqueda online de Facebook, y en su HTML noté que cada resultado contenía un elemento iframe, probablemente utilizado para el seguimiento interno de Facebook", explica Masas en el blog.
Los iFrames son códigos de programación que permiten incrustar un elemento HTML dentro de otro objeto HTML principal. Es como una ventana dentro de la ventana principal.
"Los iFrames, a diferencia de la mayoría de los elementos web, están expuestos en parte a documentos de origen cruzado. Si se combina esto con el problema de CSRF de búsqueda, surge un verdadero problema", detalla el investigador.
Como se explicó anteriormente, para que esto funcione, el usuario de Facebook tiene que ser inducido o engañado para abrir un sitio malicioso y hacer click en él, desde Chorme. Esto permite que se abra una nueva ventana y el atacante puede hacer cualquier consulta que desee.
"Al manipular la búsqueda gráfica de Facebook, es posible hacer consultas que muestren información personal sobre el usuario", detalla Masas en el comunicado.
MÁS SOBRE ESTE TEMA:
Facebook admitió que tuvo un "problema de seguridad" que afectó a 50 millones de usuarios
De qué se trata el problema del "toque fantasma" de los iPhone X y cómo solucionarlo
Últimas Noticias
Sindicato y empleador: Causas de los conflictos laborales
El documento detalla que los tipos de desacuerdo laboral se generan por malentendidos o problemas en la comunicación, sobre los roles y las responsabilidades, cuestionamientos sobre liderazgo y gestión, entre otros
Tilsa Lozano se arrepiente de haber sido enamorada del ‘Loco’ Vargas: “Pagué mi Karma, hoy pido disculpas”
La modelo sorprende al revelar que hoy no creería en las mismas mentiras y que el amor, para ella, ahora significa paz
Aseguran vehículos, metanfetamina y detienen a tres tras cateo en Rancho El Aranjuez, Chihuahua
Las revisiones son parte de la búsqueda de personas desparecidas dese agosto
El Valor de la Verdad EN VIVO: Tilsa Lozano estará en el sillón rojo y promete confesiones que sacudirán a todos
La modelo peruana vuelve al famoso sillón rojo para abrir su corazón sobre episodios difíciles, relaciones pasadas y su vida actual, en una noche que promete emociones fuertes y muchas sorpresas
Colombia: se registró un temblor de magnitud 3.6 en Antioquia
El terremoto del Eje Cafetero de 1999 es considerado el más fuerte en la historia reciente del país
