Estaba leyendo este artículo de la BBC sobre Facebook comprometido cuentas , y me preguntaba si alguien conoce los aspectos técnicos de cómo lo hicieron. Todo lo que entendí es que hubo algunas violaciones debido a la función VER COMO.
¿Alguien tiene alguna información técnica sobre esto?
El artículo en Wired tiene un poco más de información.
La red social dice que su investigación sobre la violación comenzó el 16 de septiembre, cuando vio un aumento inusual en los usuarios que accedían a Facebook. El 25 de septiembre, el equipo de ingeniería de la compañía descubrió que los piratas informáticos parecen haber explotado una serie de errores relacionados con una función de Facebook que les permite a las personas ver cómo se ve su perfil ante otra persona. La función "Ver como" está diseñada para permitir a los usuarios experimentar cómo su configuración de privacidad se ve para otra persona.
El primer error provocó que la herramienta de carga de videos de Facebook apareciera por error en la página "Ver como". La segunda provocó que el cargador generara un token de acceso, lo que le permite permanecer conectado a su cuenta de Facebook en un dispositivo, sin tener que iniciar sesión cada vez que visita, que tenía los mismos permisos de inicio de sesión que la aplicación móvil de Facebook. Finalmente, cuando el cargador de video apareció en el modo "Ver como", activó un código de acceso para la persona que el hacker estaba buscando.
Cuando se realiza cualquier acción utilizando la sección de código de pirateo de Facebook, se realiza con un contexto de espectador. Ese contexto contiene la lógica que decide si se pueden devolver los datos asociados. Una evaluación de ejemplo para el contexto del usuario sería " if (post.privacy == public || post.privacy == friends && user.is_friend() || post.privacy == custom && user.in_custom_list())... "
La vista como característica, cuando funciona correctamente, le asignaría un contexto de visor que tiene los permisos del usuario que seleccionó combinado con la restricción de que solo se pueden ver sus propios datos.
Esta divulgación sugiere que se introdujo una falla lógica en el contexto del espectador que se asignó para la vista como una característica que en algunas circunstancias no combinó la restricción especial de que solo la información del usuario solicitante era visible.
Por lo que puedo suponer, usaron Ver como para obtener tokens de acceso para las cuentas en las que podrían usar la función Ver como. Este documento explica un poco sobre cómo funciona: enlace Puedes Ver como tu propia cuenta para ver cómo se verían los amigos específicos de Facebook.
Parece que 10s de millones de cuentas tuvieron sus tokens de acceso comprometidos de esta manera desde 2017, cuando se introdujo una vulnerabilidad clave debido a un cambio en Facebook Video. Mi conjetura es que esto usó el gráfico de la red social para propagarse de manera automatizada, pero todavía estamos claros en los detalles. Digo esto debido a esta línea de su publicación de actualización de seguridad:
Los atacantes no solo necesitaban encontrar esta vulnerabilidad y usarla para obtener un token de acceso, tenían que pasar de esa cuenta a otros para robar más fichas.
Fuente: enlace
Encontré un poco más de información técnica en el artículo del NY Times :
Los atacantes explotaron dos errores en la función "ver como" del sitio, que permite a los usuarios ver sus propios perfiles como si fueran otra persona.
Eso se vio agravado por una falla en el programa de carga de videos de Facebook, una característica del software que se presentó en julio de 2017, dijo la compañía. La falla permitió a los atacantes robar los llamados tokens de acceso: claves digitales que permiten el acceso a una cuenta.
Y aún más información sobre TechCrunch :
No uno, pero tres errores llevaron a la exposición de datos.
En julio de 2017, Facebook introdujo inadvertidamente tres vulnerabilidades en su cargador de video, dijo Guy Rosen, vicepresidente de administración de productos de Facebook, en una llamada con reporteros. Cuando se utiliza la función "Ver como" para ver su perfil como otra persona, el cargador de video aparecerá ocasionalmente cuando no debería mostrarse. Cuando apareció, generó un token de acceso con la persona a la que se veía la página de perfil. Si se obtuviera ese token, un atacante podría iniciar sesión en la cuenta de la otra persona.
Lea otras preguntas en las etiquetas facebook