¿Accedes a tu cuenta de Facebook mediante el validador de Gmail? Pues bien, es momento que cambies tu manera de hacerlo, en nuestro blog te contamos que está sucediendo y qué acciones puedes tomar. Continúa leyendo.
Validador de Gmail Auth0
Antes de continuar con el contenido, hay un par de términos que debes conocer. Auth0 es una herramienta de autenticación-como-un-servicio que hace que la implementación de funciones relacionadas con la autenticación para su aplicación o sitio sea pan comido.
Véalo así como el formulario de acceso rápido en Facebook, pues bien un investigador de seguridad reveló que encadenó varios errores para hacerse cargo de algunas cuentas de Facebook que estaban vinculadas a una cuenta de Gmail y accedian por medio de validación Auth0.
Youssef Sammouda, investigador de seguridad, reveló que al encadenar el código de autenticación OAuth de Gmail con vulnerabilidades en Facebook le permitió secuestrar cuentas de Facebook cuando los usuarios iniciaban sesión
En declaraciones a The Daily Swing, Sammouda explicó que podía usar redireccionamientos en Google OAuth y encadenarlos con elementos de los sistemas de cierre de sesión, punto de control y sandbox de Facebook para acceder a las cuentas. Explicó que si bien demostró la prueba de concepto con las credenciales de Gmail, “fue posible apuntar a todos los usuarios de Facebook”.
¿Facebook conoce esta vulnerabilidad?
Sammouda informó que Facebook le pagó una ‘recompensa por errores’ de $44,625 por revelar esta vulnerabilidad en febrero. Posteriormente, Facebook lo reparó en marzo, aunque solo se hizo público hasta esta semana.
Desde 2009, Facebook admite myOpenID, que permite a los usuarios iniciar sesión en Facebook con sus credenciales de Gmail. Para decirlo de una manera más simple, esto significa que si actualmente está conectado a su cuenta de Gmail, en el momento en que visite Facebook, se conectará automáticamente.
Aunque no es directamente responsable del exploit, el hecho de que OAuth estuviera encadenado a la vulnerabilidad de Facebook pone de relieve este popular estándar de seguridad y los riesgos adicionales que conlleva.
¿Qué implicaciones tendrían estos accesos?
Facebook es una de las plataformas con cuentas vinculadas, qué significa esto.
Las cuentas vinculadas se inventaron para facilitar el inicio de sesión. Puedes usar una cuenta para iniciar sesión en otras aplicaciones, sitios y servicios. El más utilizado es el enlace entre Facebook e Instagram, iniciar sesión en una cuenta estará prácticamente conectado en la otra.
Sí alguien obtiene la única contraseña que los controla a todos, se encontrará en un problema aún mayor que si solo la contraseña de un sitio se ve comprometida.
¿Cómo puede proteger su cuenta?
Algunos sitios ofrecerán iniciar sesión con sus credenciales de Facebook. El mismo razonamiento que es válido para usar la misma contraseña para cada sitio es válido para usar sus credenciales de Facebook para iniciar sesión en otros sitios.
Puede verificar qué cuentas están vinculadas a su cuenta de Facebook abriendo el menú de configuración de Facebook. Desplácese hacia abajo y abra Configuración y privacidad, luego abra Configuración. En la parte inferior izquierda, use el botón Centro de cuentas. Presiona Cuentas y perfiles. Allí puede ver una lista de las cuentas vinculadas a su cuenta de Facebook. Puede eliminar cualquier cuenta vinculada no deseada allí.
En Interscope Media nos importa su seguridad y la de su negocio. Puede encontrar más temas relacionados con la seguridad de su cuenta en nuestro blog y en las publicaciones de Facebook e Instagram. En Interscope Media, llevamos tu negocio a su verdadero potencial.
