Imagen: PexelsLos investigadores de seguridad de la información
descubrieron una vulnerabilidad en la red social Facebook: este error podría conducir a filtraciones de información confidencial sobre los usuarios y sus amigos. Se detectó un error en la función de búsqueda de redes sociales.
Cual es el problema
Según el investigador Ron Masas de Imperva, la página que muestra los resultados de búsqueda incluye elementos de iFrame relacionados con los resultados de búsqueda. Las URL finales de estos iFrames no están protegidas de ninguna manera contra la falsificación de solicitudes entre sitios, ataques CSRF).
Para explotar una vulnerabilidad, un atacante necesita engañar a los usuarios para que visiten un sitio especial. Es importante que el usuario inicie sesión en su perfil de Facebook. Cualquier clic en una página web en segundo plano ejecutará el código JavaScript. Este código abre una nueva pestaña con la URL de Facebook, en la que se ejecuta una solicitud predeterminada para obtener la información necesaria para el atacante.
Este ataque se puede usar tanto para buscar información como "foto de vacaciones" como para extraer datos más confidenciales, que incluyen:
- el usuario tiene amigos con un nombre o palabra clave específicos en el nombre del perfil;
- qué páginas le gustan al usuario y en qué grupos pertenece;
- ¿Tiene amigos siguiendo una página específica?
- la presencia de fotos de ciertos lugares o países;
- Si el usuario ha publicado publicaciones que contienen palabras clave específicas
- ¿Tiene amigos de una religión en particular?
- etc.
Por lo tanto, la vulnerabilidad revela datos confidenciales del usuario, incluso si establecen configuraciones de privacidad que prohíben la divulgación de dicha información a terceros.
El proceso puede repetirse muchas veces sin la necesidad de abrir pestañas nuevas. Como resultado, este ataque representa el mayor peligro para los usuarios de dispositivos móviles: les resulta más difícil rastrear la apertura de nuevas pestañas.
Cómo protegerte
Los investigadores recurrieron a Facebook, y la compañía ya ha solucionado la vulnerabilidad. Los ingenieros de redes sociales agregaron protección contra ataques CSRF.
Cuando el desarrollo se pone en marcha debido a la alta demanda de servicios y productos, cada vez más desarrolladores están introduciendo procesos de integración y entrega (CI / CD) continuos. Una parte integral de CI / CD es la seguridad del software que se está desarrollando. Es especialmente importante identificar con precisión y eliminar vulnerabilidades. Sin embargo, en la práctica, no todo es tan simple.
Muchas personas creen erróneamente que el análisis de la calidad del código es suficiente para verificar el software, incluidos los riesgos de seguridad. Y aquellos que entienden que esto no es así, y recurren a herramientas de análisis de seguridad, enfrentan el problema de la verificación de vulnerabilidad. Por lo general, se realiza manualmente, y teniendo en cuenta el hecho de que el número de vulnerabilidades puede llegar a cientos y miles, la efectividad del proceso de CI / CD y la viabilidad de su soporte resultan ser una gran pregunta.
El jueves 22 de noviembre a las 2:00 p.m. , Alexey Zhukov, experto en el departamento de seguridad de aplicaciones de Positive Technologies, realizará un seminario web gratuito. En su curso, aprenderá cómo asegurarse de que en los procesos continuos, grandes volúmenes y plazos de grabación, los defectos de seguridad no pasen desapercibidos y su verificación no se convierta en un cuello de botella. Alexey hablará sobre cómo automatizar de manera competente el proceso para garantizar la seguridad del software y aumentar la eficiencia de la realización de tareas básicas. El seminario web será útil para desarrolladores y especialistas de DevOps.
Para participar en el seminario web debe registrarse .