El descubrimiento de una vulnerabilidad en una aplicación usada por tanta gente como Facebook suele causar gran revuelo por el número de posibles afectados. Si además esta vulnerabilidad resulta tan fácil de explotar como la que descubrió recientemente el investigador Sow Ching Shiong, deberíamos empezar a preocuparnos.
Esta vulnerabilidad que ya ha sido solucionada por Facebook permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la contraseña anterior. Este grave fallo de diseño consistía en acceder a una dirección que Facebook pone a disposición de los usuarios para cambiar su contraseña:
https://www.facebook.com/hacked
Esta web redireccionaba a los usuarios a otro enlace donde, si observamos bien la URL, se incluía un parámetro [userid]. Este parámetro corresponde con un código único de cada usuario y que un atacante podía usar para cambiar la contraseña de ese usuario en particular.
https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked
Una vez en este enlace comprobábamos que no pedía ningún tipo de autentificación y solo necesitábamos pulsar sobre un botón para poder acceder a cambiar la contraseña.
En el siguiente enlace se nos permitía introducir una nueva contraseña pero en ningún momento se nos preguntaba por la contraseña anterior, por lo que, técnicamente, nos apoderábamos de la cuenta del usuario al cambiarle sus credenciales de acceso.
Por suerte, Facebook ha cambiado este mecanismo y si ahora deseamos cambiar la contraseña, primero se nos pide identificarnos e introducir la contraseña actual antes de proceder al cambio.
Aunque esta vulnerabilidad ya se encuentre solucionada es difícil saber durante cuánto tiempo ha sido conocida y cuántas cuentas de usuarios podrían haber sido víctimas de un cambio de contraseña. No obstante, al tratarse de algo que un usuario notaría enseguida cuando intentase acceder a su cuenta sin éxito, dudamos que haya sido usado de forma masiva.