El fallo de parte de Facebook permitió que los atacantes potenciales pudieran ver lo que le diste ‘me gusta’, quiénes son tus amigos y qué les gusta también. Sin embargo, la red social solucionó ese problema recientemente.
El fallo usa ataques del tipo CSRF (Cross-Site Request Forgery) los cuales hacen que los sitios webs ejecuten tareas que no deben, combinados con el acceso a una cuenta que ya tuvo inicio de sesión. La vulnerabilidad se vincula a Facebook en el navegador Chrome de Google, que significa un 60 % de los navegadores que usan para acceder a Internet. Google no quiso responder de una vez a una serie de comentarios.
Imperva, una firma de ciberseguridad, halló la vulnerabilidad y se la mostró a Facebook en mayo; no obstante, la red social tampoco quiso responder a comentarios.
Para que el ataque sea fructuoso, un hacker informático potencial tendría que engañar a un usuario que inició sesión en Facebook para que este abra un sitio web malicioso. Una vez que el usuario hace clic en cualquier parte del sitio web, la vulnerabilidad usaría iFrames, código que se utiliza para poner contenido en páginas como YouTube, para luego abrir una nueva pestaña con la página de búsqueda de Facebook.
De esa manera, el atacante podría haber hecho búsquedas para obtener información personal como: ver a tus amigos, a qué páginas le diste ‘me gusta’ y qué páginas les han gustado a tus amigos. Un poco complicado pero peligroso, ¿no?
Ron Masas, un investigador de Imperva, indicó que se pueden crear búsquedas que sean más específicas como consultar a los amigos de la persona sobre su ubicación, nombre, religión o cualquier cosa.
En el video a continuación podrás ver cómo funcionaría el ataque:
[youtube https://www.youtube.com/watch?v=DebehDrXs_M]