La información que deja al descubierto un nuevo fallo de seguridad en Facebook
El «bug», que la red social solucionó el pasado mes de mayo y que se conoce ahora, permitía a cualquier página web extraer información del perfil del usuario, incluidos sus «Me gusta» e intereses a través de los ataques Cross Site Request Forgery (CSRF)
Facebook no está teniendo un buen 2018. La popular red social está en declive tras los numerosos escándalos que ha protagonizado este año. Y ahora sale a la luz un nuevo hecho que mancha aún más la reputación de la compañía: se trata de un error de seguridad que expuso la información de sus usuarios y que solucionó el pasado mes de mayo.
Hasta ahora, nada ni nadie se ha pronunciado sobre este «bug» que se une al primer gran hackeo que Facebook dio a conocer el pasado mes de octubre. Ha sido Ron Masas, investigador de seguridad de la compañía Imperva, quien descubrió la vulnerabilidad e informó a Facebook en mayo. «Habiendo informado sobre la vulnerabilidad a la compañía en mayo de 2018, trabajamos con el Equipo de Seguridad de Facebook para garantizar que el problema se resolviera», asegura Masas en su blog.
El error de seguridad es que Facebook permitía a cualquier página web extraer información del perfil del usuario, incluidos sus «Me gusta» e intereses. Esto era posible porque la red social no estaba blindada como debiera contra los populares ataques Cross Site Request Forgery (CSRF) que explotado por un ciberdelincuente consigue que un usuario ejecute una acción, de forma no intencionada, cuando está en una aplicación. Es decir, que los usuarios de Facebook, dentro de la red social y sin que ellos lo supieran, hacían clic en enlaces que aparentemente son inofensivos. Sin embargo, esta acción permite al atacante acceder a su información personal.
Masas demostró a Facebook cómo un sitio web que actúa de mala fe puede incrustar un IFRAME (elemento HTML que permite insertar o incrustar un documento HTML dentro de otro) para recopilar información del perfil de forma silenciosa.
Información personal muy valiosa
«Para que este ataque funcione, el cibercriminal tiene que engañar al usuario de Facebook para que abra el sitio malicioso y haga clic en cualquier lugar, lo que le permite abrir una ventana emergente o una nueva pestaña en la búsqueda de Facebook», explica el experto. «La vulnerabilidad -añade- expuso los intereses del usuario y sus amigos» incluso aunque su cuenta estuviera configurada para que solo los amigos pudieran ver esos datos personales. Y es que las búsquedas podían arrojar resultados tan complejos como todos los amigos de un usuario con un nombre concreto, las publicaciones de un usuario con determinadas palabras clave o los amigos de determinada religión en un lugar concreto.
Massas asegura que este error de seguridad es especialmente peligroso «para los usuarios móviles, ya que la pestaña abierta puede perderse fácilmente en segundo plano, lo que permite al atacante extraer los resultados para múltiples consultas, mientras el usuario está viendo un video o leyendo un artículo en el sitio del atacante».
El acceso a este tipo de información personal es muy valiosa para determinadas empresas, tal y como ya se demostró con el escándalo de Cambridge Analytica, en el que se utilizó de forma ilegal la información personal de 87 millones de usuarios
Según «TechCrunch», Facebook pagó al equipo de Imperva 8.000 dólares (7.000 euros) de recompensa y agregó protecciones contra los ataques CSRF para solucionar el error de seguridad.