Facebook advierte que una falla del sistema expuso a 50 millones de usuarios
Uno de los errores explotados por los hackers era la función 'ver como' que permite a los usuarios ver su perfil como lo vería un amigo
Piratas informáticos robaron este mes las claves de casi 50 millones de cuentas de Facebook usando un agujero de seguridad de un año en el código de la compañía, reveló el viernes el gigante de las redes sociales.
No está claro el origen y el propósito del robo masivo, pero algunos o todos los "tokens de acceso" hurtados se usaron para descargar los datos de perfil de usuarios comprometidos.
Los tokens de acceso son los que permiten a un usuario de Facebook que ha iniciado sesión prescindir de ingresar una contraseña cada vez que visita el sitio. Los hackers tenían la capacidad de leer mensajes privados o publicar su propio contenido, aunque Facebook dijo que no había encontrado evidencia de que los tokenss se usaran para eso.
"Este es un problema de seguridad realmente grave y lo tomamos muy en serio", dijo el presidente ejecutivo de Facebook, Mark Zuckerberg, en una conferencia de prensa. "Creo que esto subraya los ataques que enfrenta nuestra comunidad y nuestro servicio, y la necesidad de continuar invirtiendo fuertemente en seguridad".
El incidente se suma a las constantes controversias de Facebook, incluido un año de revelaciones sobre el papel del sitio en la difusión de noticias falsas, su uso por agentes de inteligencia rusos y trolls en la campaña de interferencia electoral del Kremlin en 2016, y la adquisición de datos de perfil privado de hasta 87 millones de usuarios por parte de la empresa de consultoría de campañas Cambridge Analytica.
"La divulgación de hoy es un recordatorio sobre los peligros que se presentan cuando un pequeño número de compañías como Facebook pueden acumular tantos datos personales sobre personas individuales sin las medidas de seguridad adecuadas", dijo en una declaración Mark Warner, el principal demócrata en el Comité de Inteligencia del Senado.
Los hackers descubrieron un agujero de seguridad en la intersección de tres errores de software separados en varias partes de la enorme base de código de Facebook. Un error se encontraba en la función "ver como" que permite a los usuarios verificar su configuración de privacidad al ver su perfil de la manera en que lo vería un amigo.
Los hackers descubrieron que la función ver como les permitía ver los perfiles de Facebook de otras personas con los permisos del propietario del perfil en lugar del propio. Lo usaron para robar el token de acceso del propietario por medio de un error por separado en la función que invitaba a los usuarios a subir un "vídeo de feliz cumpleaños" cada vez que un amigo de Facebook envejece un año.
Facebook dice que los usuarios afectados verán un mensaje sobre el problema en la parte superior de su News Feed cuando inicien sesión en la red social. "Su privacidad y seguridad son importantes para nosotros", dice la actualización. "Queremos informarle acerca de las recientes medidas que hemos tomado para proteger su cuenta".
El anuncio es seguido por un mensaje para hacer clic y obtener más detalles. Si no has sido desconectado pero deseas tomar precauciones de seguridad adicionales, puedes consultar esta página para ver los lugares donde actualmente está conectada tu cuenta y cerrarlos.
El ataque se detectó cuando los piratas informáticos se volvieron demasiado agresivos con su recolección, utilizando un script automatizado que se propagaba de una cuenta robada a la siguiente a través de las relaciones de amigos. Los ingenieros de Facebook notaron el aumento en la actividad el 16 de septiembre, pero debido a la complejidad del agujero de seguridad, no descubrieron qué estaba sucediendo hasta el martes pasado, dijo la compañía.
Facebook notificó el miércoles el ataque a la policía y el jueves la compañía revocó los tokens de acceso para las 50 millones de cuentas comprometidas, así como para otros 40 millones de usuarios que utilizaron la función "ver como".
"Hasta ahora no hemos visto que los tokens de acceso se usaran para acceder a mensajes o publicaciones privadas", dijo Zuckerberg, y agregó que la investigación apenas ha comenzado.
Los hackers usaron los tokens para descargar la información básica del perfil de las víctimas a través de los datos API de la compañía, como nombres, edades y lugares de origen, por razones que aún no están claras.
"La realidad aquí es que enfrentamos ataques constantes", dijo Zuckerberg. "Necesitamos en primer lugar hacer más para evitar que esto suceda".
El agujero de seguridad se abrió en julio de 2017 cuando los ingenieros de Facebook extendieron la función de visualización como carga de vídeo. La compañía no comentó si otros atacantes podrían haber estado usando la vulnerabilidad en los 14 meses transcurridos.
Para saber más lee: Everything We Know About Facebook's Massive Security Breach
