8 mar. 2016

Bug en #FacebookApesta en el proceso de recuperación de contraseña

Un nuevo caso de vulnerabilidad en la red social desvela que los más 1.500 millones de usuarios han estado expuestos al robo de su cuenta.

Así lo ha revelado el experto indio Anand Prakash (@sehacure), que ha mostrado cómo era posible acceder cuenta a través de una vulnerabilidad en el proceso de recuperación de contraseña, donde la compañía se pone en contacto con el usuario a través de un correo electrónico. En este mensaje, se le facilita un código de seis dígitos para la recuperación y, como medida de seguridad, el mismo sólo puede ser introducido un número determinado de veces. En el caso de que alguien intente robar la cuenta, el proceso bloquea la cuenta.

Sin embargo, según afirma Prakash, la beta de Facebook (beta.facebook.com y mbasic.beta.facebook.com) que utilizan los desarrolladores, no contaban con las mismas restricciones. Utilizando la conocida aplicación Burp Suite, logró realizar un ataques de fuerza bruta con los números de seis dígitos y continuar con el proceso de restablecimiento contraseña. El ataque se realiza al POST: lsd=AVoywo13&n=XXXXX

Esta vulnerabilidad era muy fácil de explotar y además estaba disponible para todo el mundo. Para ello, sólo era necesario saber el nombre de usuario de la cuenta a la que se quería acceder, algo que es público, y desarrollar un simple programa que generase y probase con todas las combinaciones posibles de seis dígitos y así poder proceder con el cambio de contraseña de una cuenta. Aquí se puede ver el video.

Anand Praksh alertó a la red social y fue recompensado con 15.000 dólares por descubrir esta vulnerabilidad y reportársela. Durante el pasado mes de febrero Facebook ha solucionado el error.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!