Llegamos a ustedes gracias a:



Alertas de Seguridad

Puede quedarse sin amigos

Debido a una falla en Facebook

[21/05/2010] Un error en el sitio web de Facebook permite a los hackers borrar sin permiso amigos en Facebook.

La falla fue reportada el miércoles pasado por Steven Abbagnaro, un estudiante del Marist College en Poughkeepsie, Nueva York. Pero hasta el viernes por la mañana, hora del Pacífico, aún no había sido parchada, basándose en pruebas realizadas por el IDG News Service en lista de amigos de la cuenta de Facebook de uno de sus reportero.
Un hacker malintencionado podría combinar un exploit para esta falla con spam -o incluso con un código de gusano autocopiante- para causar estragos en la red social, indicó Abbagnaro en una entrevista.
Él ha escrito el código de demostración de concepto que alcanza los datos disponibles al público desde las páginas de Facebook de los usuarios y, a continuación, uno a uno, elimina todos sus amigos. Para que el ataque funcione, sin embargo, la primera víctima tendría que caer en la trampa de hacer clic en un enlace malicioso mientras esté conectado en Facebook. "Lo siguiente que usted se entera es que no tiene amigos", señaló Abbagnaro.
El investigador de seguridad no va a liberar el código utilizado en su ataque hasta después de que Facebook corrija la falla; señala que hackers técnicamente competentes pueden encontrar la manera de eliminar el ataque.
Esa es la razón por la cual el código de Abbagnaro explota el mismo defecto subyacente que fue reportado por primera vez por MJ Keith, un analista senior de seguridad de Alert Logic.
La semana pasada, Keith descubrió que el sitio web de Facebook no estaba revisando correctamente el código enviado por los navegadores de los usuarios para asegurarse de que estaban autorizados a realizar cambios en el sitio.
Llamado error de falsificación de solicitud de sitio cruzado, la falla es un error común de programación web, pero Facebook ha tenido dificultades en su erradicación.
Después de que Keith reportó por primera vez el tema, Facebook pensó que había solucionado el problema, solo para descubrir que aún puede ser explotado para hacer que las páginas de los usuarios cambien sin su consentimiento.
Del mismo modo, Facebook parece haber perdido también el vector de borrado de amigos de Abbagnaro. "Estoy impresionado de que esto sigua ocurriendo", señaló Keith en una entrevista por correo electrónico.
Representantes de Facebook no pudieron ser contactados para hacer comentarios.
El equipo de seguridad de Facebook ha sido asediado últimamente, con los ataques de gusanos y defectos del sitio apareciendo de manera regular. Estos problemas de seguridad llegan en momentos en que la red social se ha ve afectada con fuertes críticas por no proteger adecuadamente la privacidad de los usuarios, y por la inadecuada distribución de los datos del usuario a los anunciantes.
Los usuarios se están retirando de la red social, y una campaña que establece el 31 de mayo como el día para retirarse de Facebook ha ganado cierta notoriedad.
A pesar de todos sus otros problemas, Facebook debería haber arreglado esta última falla, señala Abbagnaro. "No estoy seguro de por qué no ha sido resuelta todavía, ya que es bastante grave".
Robert McMillan, IDG News Service