Facebook ha publicado una nota de seguridad confirmando una vulnerabilidad que permitía el robo de un identificador único que se genera cada que se accede a una cuenta de usuario de Facebook (token), la cual ha afectado a 50 millones de cuentas.

Solución

Desde Facebook se han tomado medidas para corregir la vulnerabilidad y resetear los tokens de acceso de todas las cuentas afectadas. Asimismo, indican que no es necesario que los usuarios afectados cambien su contraseña, aunque desde la OSI sí se recomienda como medida preventiva.

En caso de que el usuario tenga problemas a la hora de iniciar su sesión, Facebook recomienda seguir los pasos del Servicio de ayuda para restablecer la contraseña:

  1. Ve a la página Recupera tu cuenta (facebook.com/login/identify).
  2. Escribe el correo electrónico, número de teléfono móvil, nombre completo o nombre de usuario asociado a la cuenta y, a continuación, haz clic en Buscar.
  3. Sigue las instrucciones que aparecen en la pantalla.

Además, los usuarios que quieran revisar en qué dispositivos han iniciado sesión y recordado su contraseña, pueden hacerlo siguiendo los siguientes pasos:

  1. En Configuración, accede a la configuración de Seguridad e inicio de sesión.
  2. Ve a la sección Dónde has iniciado sesión. Es posible que tengas que hacer clic en Ver más para ver todas las sesiones donde has iniciado sesión.
  3. Busca la sesión que quieres finalizar. Haz clic en el icono con tres puntos y, después, en Salir.

Detalles

Los atacantes explotaron una vulnerabilidad en Facebook que afectaba a la función “Ver cómo”, la cual permite al usuario ver como otros perfiles visualizan el suyo.

La vulnerabilidad permitía a los atacantes usar esta funcionalidad para robar el token de acceso de Facebook de otros usuarios, el cual se usa para permanecer logueado sin tener que reintroducir la contraseña en cada acceso. Al robar este token, los atacantes obtenían el control de las cuentas de las víctimas.

Para subsanar el problema, Facebook ha corregido la vulnerabilidad y notificado a las autoridades.

En segundo lugar, han reiniciado los tokens de acceso de los 50 millones de cuentas afectadas, y de otros 40 millones que podrían haberlo sido por precaución, lo que obligará a los usuarios a volver a loguearse. Al hacerlo recibirán una notificación informándoles sobre este incidente.

Finalmente, la opción “Ver como” ha sido deshabilitada hasta que se realice una revisión de seguridad exhaustiva.

La investigación continúa en proceso, por lo que no se conoce todavía si las cuentas cuyos tokens fueron robados han sido empleadas con usos malintencionados o si se ha accedido a información confidencial. Facebook actualizará su publicación a medida que se obtenga más información sobre el caso.