El pasado martes 25 de septiembre por la tarde Facebook presentó algunos problemas y poco después nos enteramos que su equipo de ingenieros detectó un incidente de seguridad que en su momento consideraron que afectó a por lo menos 40 millones de cuentas.
El día de hoy Facebook comparte una actualización del incidente de seguridad en el cual mencionan que siguen investigando el hecho y no descartan la posibilidad de que hayan ocurrido otros ataques a menor escala.
Acerca del incidente de seguridad de Facebook del 25 de septiembre de 2018
- Los atacantes aprovecharon una vulnerabilidad que existió en el código de Facebook entre julio del 2017 y septiembre del 2018. Esa vulnerabilidad fue el resultado de una compleja interacción de tres bugs de software e impactó “Ver Como”, una función que permite a las personas visualizar cómo otros ven sus perfiles.
- Eso posibilitó que los atacantes robaran tokens de acceso a Facebook, que pudieron ser usados para tomar el control de las cuentas de las personas. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook, evitando que deban colocar sus claves cada vez que usan la aplicación.
- El ataque fue detectado después de un aumento inusual de actividad que comenzó el 14 de septiembre del 2018 y dio inicio a una investigación. El 25 de septiembre determinaron que se trató de un ataque e identificaron la vulnerabilidad.
- El 27 de septiembre se detuvo el ataque y aseguraron las cuentas de las personas, re iniciando los tokens de acceso de las personas que estaban potencialmente expuestas.
- Se desactivo “Ver Como”.
- Tenemos una idea de quién estuvo atrás de ese ataque y pasamos esa información al FBI, que está investigando activamente lo que pasó y nos pidió no comentar más.
- Durante el ataque fueron robados los tokens de acceso de alrededor de 30 millones de personas y no de 50 millones como se informó originalmente.
Cómo sucedió el ataque a Facebook del 25 de septiembre de 2018
Los atacantes tenían acceso a una serie de cuentas, que estaban conectadas con amigos en Facebook. Usando una técnica automatizada, pasaron de una cuenta a otra y de esa forma pudieron robar los tokens de acceso de esos amigos, y de amigos de esos amigos, hasta impactar a unas 400.000 personas.
En el proceso esa técnica cargó automáticamente los perfiles de Facebook de esas cuentas, simulando lo que esas 400.000 personas hubieran visto si miraran sus propios perfiles. Eso incluyó publicaciones en sus líneas del tiempo, listas de amigos, grupos a los que pertenecen y los nombres de conversaciones recientes en Messenger.
Los atacantes no tuvieron acceso al contenido en Messenger, con una excepción: Si una persona en ese grupo era administrador de una Página que había recibido un mensaje de alguien en Facebook, el contenido de ese mensaje estuvo disponible para los atacantes.
¿Qué datos obtuvieron?
Los atacantes usaron una parte de las listas de amigos de esas 400.000 personas para robar los tokens de acceso de unas 30 millones de personas. En el caso de 15 millones de personas, los atacantes accedieron a dos tipos de contenidos: nombre y detalles de contacto (número de teléfono, email o ambos, dependiendo de la información disponible en el perfil).
Para otros 14 millones de personas, los atacantes accedieron a esos dos tipos de información, además de otros detalles como nombres de usuario, género, local e idioma, estatus de relación, religión, lugar de origen, ciudad actual reportada, fecha de nacimiento, el tipo de dispositivo que usan para acceder a Facebook, educación, ocupación, los últimos 10 lugares donde hicieron check in of fueron tageados, website, las personas o Páginas que siguen y sus 15 búsquedas más recientes. En el caso del restante 1 millón de personas, los atacantes no tuvieron acceso a ninguna información.
¿Cómo sé si mi cuenta fue afectada en el ataque a Facebook?
Esta información se puede verificar visitando el Servicio de Ayuda, además en los siguientes días Facebook enviará mensajes a los 30 millones de personas afectadas, para explicar a qué tipo de información pudieron tener acceso los atacantes, además de las medidas que pueden tomar para ayudar a protegerse de emails, mensajes de texto o llamadas sospechosas.
Este ataque no incluyó Messenger, Messenger Kids, Instagram, Oculus, Workplace, Páginas, aplicaciones de terceros o cuentas de anunciantes o desarrolladores, siguen investigando cómo puede haber impactado a los Grupos.