Su cuenta en Facebook, y los sitios web que utilizan el inicio de sesión de Facebook, podrían verse comprometidos. Esto es lo que sabemos.
Jaap Arriens / Getty ImagesACTUALIZAR
02 de octubre de 2018, a las 22:46 p.m.En una publicación de blog Guy Rosen, vicepresidente de gestión de productos de Facebook, reconoció que algunas aplicaciones de terceros que utilizan el inicio de sesión de Facebook, incluidas las que no utilizan los SDK oficiales de Facebook o que comprueban regularmente si los tokens de acceso de Facebook son válidos, pueden seguir exponiendo a los usuarios.
'Estamos creando una herramienta para permitir que los desarrolladores identifiquen manualmente a los usuarios de sus aplicaciones que pueden haber sido afectados, para que puedan cerrar la sesión', escribió Rosen. No mencionó cuándo estará disponible la herramienta.
Facebook reveló recientemente que la seguridad de 50 millones de perfiles se vio comprometida cuando los atacantes robaron tokens de acceso que les permitieron ingresar a estas cuentas.
Facebook descubrió la infracción el martes 25 de septiembre y restableció los tokens de acceso, lo que obligó a los usuarios a volver a iniciar sesión en sus cuentas el jueves 27 de septiembre. La compañía reveló el ataque el viernes pasado.
Además de las cuentas de Facebook, los tokens de acceso robados también pueden comprometer las cuentas de cualquier sitio web de terceros que utilice el inicio de sesión de Facebook.
Algunas personas no están seguras de lo que eso significa para la seguridad de sus cuentas de Facebook, así que aquí hay un desglose de todo lo que sabemos.
Primero, es probable que la infracción lo haya afectado.
Facebook restableció los tokens de acceso de 50 millones de cuentas comprometidas y, como precaución, restableció otros 40 millones de cuentas que cree que pueden haber sido violadas.
Al restablecer los tokens, Facebook anuló los tokens robados. Los usuarios se vieron obligados a volver a ingresar sus contraseñas y volver a iniciar sesión en sus cuentas de Facebook.
Si bien los usuarios de WhatsApp no se ven afectados (WhatsApp es propiedad de Facebook), es posible que los usuarios de Instagram sí, por lo que la compañía solicitó a los usuarios de Instagram que se desvincularan y volvieran a vincular sus cuentas de Facebook.
No es necesario que cambie su contraseña, pero debe revisar dónde inició sesión en Facebook.
Un token de acceso no es una contraseña. Es una cadena de caracteres que le permite permanecer conectado a Facebook. Los tokens de acceso son como claves digitales, dice Facebook, que lo mantienen conectado a su cuenta de Facebook incluso cuando no está utilizando activamente Facebook, por lo que no tiene que volver a ingresar una contraseña cada vez que visita.
No hay mucho más que pueda hacer sobre la violación, ya que Facebook ya restableció estos tokens de acceso.
Sin embargo, debe visitar la página de Facebook Seguridad página de configuración ( https://www.facebook.com/settings?tab=security ) y revise la sección Dónde inició sesión. Haga clic en el icono a la derecha para cerrar sesión en su cuenta de Facebook en dispositivos inactivos.
En un iPhone, puede acceder a la página de configuración de seguridad tocando el menú (abajo a la derecha), desplazándose hacia abajo hasta Configuración y privacidad, seleccionando Configuración y seleccionando Seguridad e inicio de sesión.
Nicole Nguyen / BuzzFeed News
Dicho esto, asegúrese de tener una contraseña segura para su cuenta de Facebook y la autenticación de dos factores (a través de la aplicación, no por mensaje de texto) activada.
Aquí está más información sobre cómo crear una contraseña segura (tl; dr: obtenga un administrador de contraseñas y use el generador de contraseñas del administrador) y configure la autenticación de dos factores basada en la aplicación.
También debe revisar todas las aplicaciones de terceros en las que utiliza Facebook para iniciar sesión. También pueden ser vulnerables.
En la configuración de Facebook, vaya a Aplicaciones y sitios web para revisar todas las aplicaciones de terceros que usan tus credenciales de Facebook para iniciar sesión. Debes revocar el permiso de las aplicaciones que ya no uses.
Además de eso, debe ir a esas cuentas y ver si hubo alguna actividad sospechosa, dijo Jason Polakis, profesor asistente de ciencias de la computación en la Universidad de Illinois en Chicago. NBC News .
Eso se debe a que, según Polakis, esos tokens de acceso robados podrían usarse para iniciar sesión en cuentas en sitios web que admiten la autenticación de Facebook, incluso si no usa Facebook como inicio de sesión.
Sobre 160.000 sitios web , incluido BuzzFeed, actualmente usan Facebook Login, una herramienta que permite a las personas usar su perfil de Facebook para registrarse en lugar de crear una nueva cuenta. También se conoce como inicio de sesión único de Facebook (o SSO de Facebook en el tweet a continuación).
Jason Polakis @jpolakisOtro problema muy crítico, pero que se pasa por alto, es que los tokens robados se pueden usar para obtener acceso a la cuenta de un usuario en otros sitios web que admiten SSO * de Facebook, incluso si el usuario no usa SSO * de Facebook para acceder a ellos. Esto depende de las implementaciones de terceros. (6 / n)
05:48 PM - 29 Sep 2018 Respuesta Retweet Favorito
En una serie de tweets , Polakis explicó que, dependiendo de cómo estos sitios web implementaron el inicio de sesión de Facebook, los piratas informáticos podrían obtener acceso a las cuentas de los usuarios en todos los sitios web donde se implementa el inicio de sesión único de Facebook.
En una declaración enviada por correo electrónico, un portavoz de Facebook escribió: Brindamos las mejores prácticas para los desarrolladores que usan el inicio de sesión y los SDK, que los ayudan a detectar cierres de sesión forzados como los que hicimos la semana pasada para proteger a las personas. Estamos preparando recomendaciones adicionales para todos los desarrolladores que responden a este incidente y para proteger a las personas en el futuro. También proporcionó un enlace a Facebook Seguridad de inicio de sesión página para desarrolladores. Airbnb, Tinder, Bumble, Hinge y Getaround, sitios web que utilizan el inicio de sesión de Facebook, no respondieron a las solicitudes de comentarios.
Un portavoz de Pinterest dijo: Estamos trabajando activamente con Facebook para investigar y determinar el impacto. Mantendremos informados a los usuarios si hay actualizaciones que deban conocer.
Un portavoz de Spotify comentó, Spotify no ha experimentado una violación de seguridad. Como precaución, los usuarios preocupados pueden actualizar su contraseña de Spotify o, si la cuenta se creó a través de Facebook, iniciar sesión en Facebook a través de sus instrucciones.
Esto es lo que causó la infracción: los atacantes explotaron una vulnerabilidad en la función Ver como, que le permite ver cómo se ve su perfil para otras personas con las que se ha hecho amigo en Facebook.
Se supone que Ver como es de solo lectura. En otras palabras, no debería poder interactuar con su perfil en este modo. Sin embargo, en un caso específico, podría interactuar con su propio perfil. Una versión de Ver como mostró su perfil tal como aparecería en su cumpleaños. En esta versión, verías Escribe a [tu nombre] un deseo de cumpleaños.
Facebook brindó inadvertidamente la opción de publicar un video para esta versión especial de cumpleaños de Ver como. Luego, ese cargador de videos generó un token de acceso en el HTML del sitio web para el usuario con el que estaba viendo su perfil.
Esta nueva función de carga de video se introdujo en julio de 2017. A mediados de septiembre, Facebook inició una investigación después de que descubrió un aumento en los usuarios de la nueva funcionalidad, que es la forma en que descubrió el ataque el 25 de septiembre.
Este token de acceso es lo que permitió a los atacantes hacerse cargo de su cuenta.
Estos tokens de acceso también se pueden usar para obtener un control completo de las cuentas de Facebook, pero Facebook dice que una investigación inicial no ha mostrado que los tokens se usaron para acceder a mensajes o publicaciones privados o para publicar algo en estas cuentas hasta el momento.
Facebook aún no tiene idea de quiénes son los atacantes o dónde se encuentran.
De acuerdo a Facebook , su investigación se encuentra en sus primeras etapas y la empresa no sabe si se accedió a alguna cuenta utilizando tokens robados.
