Monday, 29 August 2016

Vulnerabilidad de Facebook permite robar múltiples cuentas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-de-facebook-permite-robar-multiples-cuentas/
TAGS: facebook, hackear facebook
Una de las búsquedas más realizadas en Google es "cómo hackear Facebook", siendo la mayoría de resulados por no decir todos ellas estafas bien pensadas. Sin embargo, lógicamente hay gente que sería capaz de lograrlo, y en esta ocasión un Ingeniero de Software de Intel intentó hackear Facebook descubriendo así una vulnerabilidad presente.

Durante su investigación, Gurkirat Singh, residente en California, descubrió un gran agujero de seguridad en el mecanismo de reinicio de contraseñas de Facebook, el cual en última instancia permitiría acceder al perfil de cualquier usuario de la famosa red social. El fallo estaría presente en el código que se envía al interesado en esta situación.

Cuando te olvidas de tu contraseña, Facebook te envía un código a tu correo electrónico o por SMS, siendo siempre un código numérico formado por 6 dígitos, lo que significa que existe un máximo de 1.000.000 de combinaciones posibles antes de empezar a repetir códigos, siendo esta la causa del fallo.

Según nos cuenta Gurkirat, esto significa que si se diese el caso de que 1 millón de personas solicitasen un reinicio de contraseña al mismo tiempo o con poca diferncia de tiempo, la persona 1.000.001 acabaría obteniendo un código que ya ha sido asignado a otra persona recientemente al no existir más códigos numéricos.



Para demostrar que realmente esto ocurría así utilizó una forma de enviar 2 millones de solicitudes de reinicio de contraseñas diferentes a Facebook, combinándolo con IDs de usuario que previamente averiguó que eran válidas, y utilizando también un sistema para que cada solicitud tuviese una IP diferente.

El proceso finalmente le llevó al punto en el que tenía la dirección URL que el usuario debía utilizar para reiniciar su contraseña, permitiendo así cambiar la de cualquier cuenta. Sin embargo, para su sorpresa tras informar a Facebook, este error fue calificado de baja prioridad y fue recompensado con 500 dólares por descubrirlo.

Fuente:http://computerhoy.com/
Noticias de seguridad informática

No comments:

Post a Comment