![](\"https:\/\/sophos.files.wordpress.com\/2019\/02\/facebook_phone.jpg\"\/)
<\/p>\nSi eres un experto en seguridad en busca de un buen programa de recompensas por la caza de bugs, Facebook puede ser un buen lugar donde empezar.<\/p>\n
Esta red social ha sufrido gran cantidad de molestos fallos de seguridad durante los \u00faltimos a\u00f1os, a los que ahora se les puede a\u00f1adir una vulnerabilidad que permite saltarse la protecci\u00f3n CSRF (del ingl\u00e9s Cross-site request forgery o falsificaci\u00f3n de petici\u00f3n en sitios cruzados) que podr\u00eda permitir secuestrar una cuenta de usuario de varias formas.<\/p>\n
Descubierta por el investigador \u201cSamm0uda\u201d en enero, el problema se centra en lo que t\u00e9cnicamente se conoce una URL vulnerable \u201cendpoint\u201d, en este caso facebook.com\/comet\/dialog_DONOTUSE\/?url=XXXX. El investigador explica:<\/p>\n
Este endpoint se encuentra en el dominio principal <\/em>www.facebook.com<\/em><\/a> lo que hace m\u00e1s sencillo a un atacante el enga\u00f1ar a sus v\u00edctimas a visitar el URL.<\/em><\/p>\n Los ataques CSRF ocurren cuando un atacante enga\u00f1a a un usuario a visitar un enlace malicioso que env\u00eda instrucciones a una web vulnerable que parecen provenir del navegador del usuario.<\/p>\n Todo lo que se necesita para que funcione es que el usuario debe estar autenticado cuando esto ocurre, aunque el usuario no se da cuenta de que est\u00e1 ocurriendo algo.<\/p>\n Esta t\u00e9cnica ha sido muy popular durante a\u00f1os, por lo que las webs utilizan tokens anti-CSRF, que se cambian cada vez que hay una petici\u00f3n de cambio de estado.<\/p>\n En este caso, el investigador fue capaz de saltarse la protecci\u00f3n a\u00f1adiendo fb_dtsg al token CSRF en el POST del cuerpo de la petici\u00f3n como parte del enga\u00f1o.<\/p>\n Un ataque exitoso permitir\u00eda a un ciberatacante publicar en el muro del usuario, cambiar su foto de perfil y enga\u00f1arlo a borrar su cuenta.<\/p>\n Sin duda, el secuestro de la cuenta realizado al cambiar el correo de recuperaci\u00f3n del usuario o su n\u00famero de tel\u00e9fono ser\u00eda m\u00e1s complicado al necesitar que la victima visitara dos URL, uno para hacer el cambio y otro para confirmarlo.<\/p>\n Por lo que para saltarse esto, tendr\u00eda que buscar endpoints donde est\u00e9 presente el par\u00e1metro \u201cnext\u201d para que el secuestro de la cuenta se pueda realizar con un \u00fanico URL.<\/em><\/p>\n Ese paso extra es lo que redujo la recompensa de Samm0uda de 40.000$ (para secuestros que no requieran intervenci\u00f3n adicional del usuario) a 25.000$ (para los que s\u00ed).<\/p>\n El 31 de enero, cinco d\u00edas despu\u00e9s de informar a Facebook, se solucion\u00f3 el problema, seg\u00fan dijo el experto.<\/p>\n Las vulnerabilidades en Facebook se han convertido en un tema recurrente, incluyendo una gran filtraci\u00f3n que afect\u00f3 a casi 50 millones de cuentas<\/a> el pasado septiembre, despu\u00e9s de que los atacantes explotaran una vulnerabilidad para robar unos tokens de acceso.<\/p>\n Poco despu\u00e9s, un investigador inform\u00f3<\/a> como cualquier usuario pod\u00eda convertirse a s\u00ed mismo en administrador de cualquier cuenta de Facebook Business.<\/p>\n Como en este \u00faltimo caso, estos problemas han proporcionado a sus descubridores una buena recompensa. De hecho, Facebook dijo en diciembre<\/a> que hab\u00eda pagado 1,1 millones de d\u00f3lares durante 2018, 7,5 desde 2011.<\/p>\n Para una empresa tan grande y rentable como Facebook, eso es una miseria. \u00a1Larga a la vida a los investigadores!<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \tEn un abrir y cerrar de ojos<\/h2>\n