Vulnerabilidad en el restablecimiento de contraseñas de facebook: Corregido

En el proceso de crear un sistema que permita a los usuarios de Facebook recuperar el control de sus cuentas, la empresa logro abrir un hueco que podría haber permitido a los atacantes restablecer las contraseñas de los usuarios sin conocer su contraseña antigua. La falla fue reportada a Facebook a través de su página de divulgación HAT.

El problema fue descubierto por Sow Shiong Ching y documentado en su blog, se requiere que el usuario inicie sesión y visite el https://www.facebook.com/hacked.  Ching Shiong  dijo que había tres escenarios en los que podría ser este defecto utilizado maliciosamente. Un ataque local podría suceder que un usuario ha olvidado de cerrar su ordenador de sobremesa o portátil, el atacante sólo tiene que acceder a la “hackeado” la página para restablecer la contraseña. Un ataque interno, donde se podía ID de sesión del usuario olió porque no estaban utilizando HTTPS, podría permitir que el usuario malintencionado para secuestrar la sesión. Por último un ataque externo podría haber aprovechado una falla XSS para robar el identificador de sesión. Sin embargo, sin de alguna manera secuestro de sesión de un usuario, que no era posible explotar la falla. La página de la contraseña se informa ahora a pedir la contraseña antigua y la contraseña nueva para garantizar el titular de la cuenta se ha autentificado.

Fuente: The H security

Anuncios
Minientrada | Esta entrada fue publicada en Redes Sociales. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s