El lado feo de la nube, vulnerabilidad de acceso a Facebook descubierta

por Publicado el

La seguridad ha sido uno de los temas principales de los últimos 30 días. Hemos tenido el Ultimo pase incidente y el Hack de Sony PSN. Ambos incidentes demostraron que sus datos pueden estar en riesgo, incluso si sigue las reglas y utiliza las mejores prácticas de seguridad disponibles.

Si pensaba que eso era todo por este mes, entonces se había equivocado. Symantec ayer reveló que descubrieron una vulnerabilidad de acceso en Facebook que puede remontarse a 2007.

Las aplicaciones de Facebook, en ciertos casos, filtraron tokens de acceso a terceros. Las aplicaciones utilizan los tokens de acceso para actuar en nombre del usuario, por ejemplo, publicando en el muro del usuario. Con esos tokens de acceso a su disposición, los anunciantes y las empresas teóricamente podían realizar operaciones en nombre del usuario, lo que podría incluir acceder a los perfiles de amigos, incluso si están bloqueados del público, publicar en el muro de un usuario, chats o fotos.

Symantec estima que cerca de 100,000 aplicaciones de Facebook filtran esos tokens de acceso. Las aplicaciones de terceros fueron introducidas por Facebook en 2007, y Symantec estima que la vulnerabilidad ha estado ahí desde el primer día.

Facebook

Según Symantec, es poco probable que las empresas hayan descubierto la vulnerabilidad, lo que hace que la explotación sea poco probable pero no imposible.

Mientras tanto, Facebook parece haber solucionado la vulnerabilidad de acceso. Eso no significa que las cuentas de Facebook estén seguras de inmediato, considerando que los tokens de acceso no caducan de inmediato.

La mayoría de los tokens de acceso caducan después de un tiempo. Sin embargo, las aplicaciones pueden solicitar acceso sin conexión durante la instalación, lo que establece un token de acceso que no caduca por sí solo. La única forma de evitar esto es invalidar ese token de acceso cambiando la contraseña de la cuenta.

Facebook recientemente anunció la migración a OAUTH 2.0 para todas las aplicaciones. Los desarrolladores de aplicaciones tienen hasta el 1 de septiembre para cambiar el esquema de autenticación de sus aplicaciones a OAUTH 2.0.

Puede ser un buen momento para cambiar su contraseña de Facebook si está usando o ha usado aplicaciones de terceros en Facebook.

Melanies toman

Una vez más, puede estar compartiendo más de lo que pretendía en Facebook

El historial de privacidad de Facebook no ha sido precisamente estelar. Sin embargo, en el pasado, la prensa negativa que Facebook ha recibido sobre sus fiascos de privacidad se debe a un cambio de configuración o de política. Ahora, sin embargo, Facebook está nuevamente bajo fuego, esta vez debido a fugas de seguridad.

En el pasado, Facebook ha sido criticado por su actitud hacia la privacidad. Es cada vez más obvio que la intención de Facebook es asegurarse de que tantas personas compartan tanto como sea posible. Ha habido un cambio notable en los últimos cinco años. Al principio, Facebook hizo que su información personal fuera privada y estuviera bajo su control de forma predeterminada. Ahora, todos sus datos están tan abiertos como pueden ser de forma predeterminada. Si desea que sus datos sean más privados, no es tan fácil como uno, dos y tres. Para el usuario medio, es difícil navegar por las páginas de configuración de privacidad.

Para ser justos con Facebook, esta vez, el problema no fue un intento deliberado de hacer públicos más datos personales. Es una fuga accidental de sus datos a terceros.

¿Conoces esas aplicaciones que son tan populares? ¿Los que agregan funcionalidad al ecosistema de Facebook para todo, desde juegos hasta compras? Bueno, según la firma de seguridad Symantec, resulta que desde que se introdujeron las aplicaciones de Facebook en 2007, han estado filtrando su información a terceros.

La filtración involucra tokens de acceso. Estos se entregan a las aplicaciones que usa para que puedan acceder a sus datos de usuario. Las aplicaciones las necesitan para acceder y publicar en su muro, ver los perfiles de sus amigos y ver la información personal que necesitan para funcionar. Symantec dice que, por accidente, más de 100 mil aplicaciones pueden haber filtrado millones de tokens de acceso a terceros.

Facebook asegura a sus usuarios que no ha habido consecuencias negativas de la información de usuario potencialmente filtrada y que no se han filtrado datos privados a terceros. Symantec señala que, aunque es posible que terceros ni siquiera supieran que podían acceder a la información, las repercusiones de la filtración podrían ser amplias.

Symantec informó a Facebook del problema a mediados de abril, y Facebook dijo que a partir del martes ya no había ningún problema y que la filtración se había solucionado.
Esta no es la primera vez que Facebook se entera de que las aplicaciones pueden estar compartiendo información con terceros, de forma intencionada o no. El otoño pasado, Facebook suspendió algunas aplicaciones por hacer exactamente eso.

Es posible que Facebook, una vez más, haya estado compartiendo más datos tuyos con personas que no necesariamente quieres ver. Al menos esta vez es por accidente y es algo que se puede arreglar. Aún así, es una razón menos para confiar en la privacidad de Facebook.

¿El problema de la privacidad de Facebook es importante para ti? ¿Considera que sus datos son suyos o es de la opinión de que si comparte algo en línea, es en público de todos modos? ¿Cuáles son tus pensamientos?

Publicaciones relacionadas:

  1. La vista previa de Microsoft Outlook para Android e iOS ya está disponible
  2. Buenas noticias, Pocket se convertirá en un complemento de Firefox una vez más (más o menos)
  3. Caballero de asedio [Sábado de juego]
  4. Revisión de recuperación de datos de iCare

Publicado por