Contenido

50 millones de cuentas hackeadas en facebook

Las malas noticias para los usuarios de Facebook no terminan. Hoy Facebook tuvo que admitir que las cuentas de 50 millones de personas fueron accedidas de alguna manera por hackers que abusaban de una característica poco conocida.

La función «Ver como» te da la posibilidad de ver cómo se ve tu perfil para que puedas comprobar si tu configuración de privacidad se está aplicando correctamente, por ejemplo.

Los hackers pudieron abusar de un agujero de seguridad en esta función para robar tokens de acceso para apoderarse de las cuentas de las personas; básicamente, las cookies de inicio de sesión que mantienen al usuario conectado. Esto no es muy diferente a los ataques de secuestro de sesión que comenzaron a ser frecuentes hace algunos años cuando la gente olfateaba el tráfico de la red en los hotspots. Es una de las razones por las que siempre querrás usar una VPN, y por las que la web ha estado cambiando a HTTPS. Excepto que, en este caso, el error estaba en el código de Facebook, así que nada podía protegerte.

El problema parecía estar en un cargador de vídeo para enviar mensajes, que no debería haber aparecido en la página Ver como, pero así fue. Una vez que el cargador de vídeo se abrió, el error esencialmente iniciaba sesión en el hacker como la cuenta como la que el perfil estaba siendo visto. Así que pudieron cosechar la lista de amigos de todo el mundo, explotando el error de acceder como cada amigo de un amigo hasta 6 grados de Kevin Bacon más tarde, habían accedido a 50 millones de cuentas.

Lo que necesita saber

Los detalles sobre esta debacle son muy escasos en este momento, pero aquí están las cosas que sí sabemos:

  • Se accedió a 50 millones de cuentas.
  • Facebook desconectó a 90 millones de personas para estar seguros.
  • Este error fue corregido.
  • Tomar el control de una cookie de sesión no permitirá que un atacante acceda a su contraseña.
  • No sabemos nada sobre la cantidad de datos a los que pudieron acceder o si afecta a las aplicaciones de terceros que utilizan los inicios de sesión de Facebook.
  • Recibirás un aviso en la parte superior de Facebook informándote de lo que ha pasado.
  • No hay nada más que puedas hacer en este momento.
  • Facebook ha desactivado completamente la función Ver como mientras investigan cómo sucedió todo, cuántos datos se perdieron y cómo pueden resolver el problema en el futuro.

Esta violación de datos, combinada con las recientes noticias de que Facebook está recopilando perfiles de sombra y utilizando su dirección de correo electrónico para dirigir los anuncios, va a aumentar las solicitudes de regulación al estilo de GDPR a través de estos gigantes de Internet.