Cómo piratear una cuenta de Facebook con la herramienta Reconectar

El investigador de seguridad Egor Homakov de Sakurity entregó el 5 de marzo, Reconnect, una herramienta que te permite hackear una cuenta de Facebook desde sitios compatibles con Facebook Login.

Reconnect explota una vulnerabilidad de Falsificación de solicitudes en varios sitios (CSRF) al conectarse, desconectarse o conectarse a través de aplicaciones de terceros (Bit.ly, Vimeo, Stumbleupon….etc.) a Facebook.

El defecto CSRF consiste en realizar una acción dirigida a un sitio o página específica utilizando al usuario como disparador, sin que el usuario sea consciente de ello.

Después de que Facebook se negara a arreglar este defecto que descubrió en enero de 2014, Egora publicó Reconnect, una herramienta para piratear una cuenta de Facebook desde sitios compatibles Facebook Login .

“Facebook se negó a resolver este problema hace un año, y desafortunadamente ha llegado el momento de llevarlo al siguiente nivel y entregarlo a la comunidad hacker”, dijo Egor Homakov el jueves en su blog.

¿Cómo funciona Reconnect?

Reconectar genera URL que asocian el inicio de sesión de Facebook con cuentas de Facebook falsas. Cuando una víctima hace clic en estas URL, se desconecta de su propia cuenta de Facebook y se conecta a cuentas falsas en la red social configurada por hackers. Pero en segundo plano, su cuenta vinculada a sitios web que utilizan el servicio de inicio de sesión de Facebook sigue estando conectada a cuentas de Facebook falsas.

Para simplificar las cosas, al falsificar una URL maliciosa, un hacker puede vincular su cuenta de Facebook a la suya, a través del inicio de sesión de Facebook de un sitio de un tercero y, a continuación, tener control sobre su cuenta de Facebook .

¿Cómo protegerse?

Para proteger tu cuenta de Facebook de los hackers, no hagas clic en los enlaces sospechosos de Facebook que se te proporcionen a través de redes sociales, SMS, mensajería instantánea, correos electrónicos….etc. Y siempre tenga cuidado mientras navega por la red.

Y si eres un desarrollador y has integrado el inicio de sesión de Facebook en tus sitios, recuerda comprobar que este exploit CSRF no es posible en casa.

Contenido relacionado

Categorías Seguridad

Deja un comentario