Otro error de Facebook podría haber expuesto su información privada

Otra vulnerabilidad de seguridad ha sido descubierta en Facebook que podría haber permitido a los atacantes obtener cierta información personal sobre los usuarios y sus amigos, lo que podría poner en riesgo la privacidad de los usuarios de la red social más popular del mundo.

Descubierta por investigadores de ciberseguridad de Imperva, la vulnerabilidad reside en la forma en que la función de búsqueda de Facebook muestra los resultados de las consultas realizadas.

Según el investigador de Imperva Ron Masas, la página que muestra los resultados de búsqueda incluye elementos iFrame asociados con cada resultado, donde las URL de punto final de esos iFrames no tenían ningún mecanismo de protección para defenderse de los ataques de falsificación de solicitudes entre sitios (CSRF). Cabe señalar que la vulnerabilidad recién informada ya ha sido parcheada y, a diferencia de las anteriores que revelaron una falla que exponía información personal de 30 millones de usuarios, no permitía a los atacantes extraer información de cuentas masivas a la vez.

«Para que este ataque funcione, debemos engañar a un usuario de Facebook para que abra nuestro sitio malicioso y haga clic en cualquier lugar del sitio (puede ser cualquier sitio en el que podamos ejecutar JavaScript), lo que nos permite abrir una ventana emergente o una nueva pestaña en Facebook. «Página de búsqueda, lo que obliga al usuario a ejecutar cualquier consulta de búsqueda que queramos», explicó Masas en una publicación de blog publicada hoy.

Imperva informó responsablemente el error a Facebook a través del programa de divulgación de vulnerabilidades de la compañía en mayo de 2018, y el gigante de las redes sociales resolvió el problema días después agregando protecciones CSRF.

Hace casi tres meses, Masas también informó sobre una vulnerabilidad de navegador web impresionante que expone todo lo que otras plataformas web, como Facebook y Google, conocen sobre usted. También realizó una prueba para demostrar la vulnerabilidad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity