Por Guy Rosen, VP de Producto
El martes 25 de septiembre por la tarde nuestro equipo de ingenieros detectó un incidente de seguridad que afectó a por lo menos 40 millones de cuentas. Tomamos este incidente con extrema seriedad y queremos que todos estén informados de las acciones que adoptamos inmediatamente para proteger la seguridad de las personas.
Nuestra investigación está aún en una fase inicial. Pero es evidente que los atacantes explotaron una vulnerabilidad en el código de Facebook, que impactó a la herrmienta “Ver Como”, que permite a los usuarios mirar cómo lucen sus propios perfiles desde la óptica de otras personas. Esto les permitió robar tokens de acceso a Facebook, que luego podrían ser empleadas para tomar el control de cuentas de usuarios. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook y evitan que tengan que reingresar su clave cada vez que quieren usar la plataforma.
Estas son las medidas que ya tomamos. Primero, reparamos la vulnerabilidad y reportamos el caso a las autoridades.
Segundo, reiniciamos los tokens de acceso de las casi 50 millones de cuentas que sabemos que fueron afectadas para garantizar su seguridad. Además, tomamos la medida de inhabilitar los tokens de acceso de otras 40 millones de cuentas que usaron la funcionalidad “Ver Como” en el último año. Como resultado, cerca de 90 millones de personas deberán ahora reconectarse a Facebook o alguna de las aplicaciones a las que se accede utilizando Facebook. Luego de reconectarse, los usuarios recibirán una notificación en su News Feed, explicando lo sucedido.
Tercero, desactivamos temporalmente la herramienta “Ver Como”, mientras realizamos un chequeo exhaustivo de la seguridad.
Este ataque aprovechó una compleja interacción entre múltiples aspectos de nuestro código. Fue originado a un cambio que hicimos del código de nuestra herramienta para subir videos en julio de 2017, que impactó la funcionalidad “Ver Como”. Los atacantes identificaron esta vulnerabilidad y la utilizaron para conseguir un token de acceso, para después emplear esa cuenta como pívot para acceder a otras cuentas y robar más tokens.
Nuestra investigación recién comienza y aún deberemos determinar si las cuentas afectadas fueron abusadas o si los atacantes lograron acceder a algún tipo de información. Tampoco sabemos quién está detrás de estos ataques o dónde se encuentran. Estamos trabajando a tiempo completo para obtener todos esos detalles y actualizaremos este blogpost cuando tengamos nueva información para compartir. Adicionalmente, si detectamos que más cuentas fueron afectadas, reiniciaremos inmediatamente sus tokens.
La privacidad y la seguridad de las personas son de una importancia central y lamentamos que esto haya pasado. Es por eso que actuamos apenas detectamos el problema para asegurar las cuentas e informar a los usuarios. No hay necesidad de que las personas cambien sus claves. Pero aquellos que tengan dificultades para volver a conectarse a Facebook, por ejemplo porque no recuerdan su clave, deben visitar nuestro Servicio de Ayuda. Y si alguien quiere, por precaución, desconectarse de la plataforma, debe ir a la sección Seguridad e Inicio de Sesión. Allí, se enumeran todos los dispositivos en los que las personas están conectadas a Facebook y de las que puede salir con un solo clic.
Actualización del 28 de Septiembre de 2018 a las 4:45PM PT
Más detalles técnicos
Por Pedro Canahuati, VP de Ingeniería, Seguridad y Privacidad
A continuación, informamos algunos detalles técnicos adicionales sobre el incidente de seguridad.
A principios de esta semana, descubrimos un ataque que se valió de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente específico de la función “Ver Como”. Esta vulnerabilidad fue el resultado de la interacción de tres bugs diferentes.
Primero: “Ver Como” es una función de seguridad que permite a las personas visualizar cómo luce su perfil para los demás. “Ver Como” debería ser una interfaz de solo lectura. Sin embargo, para una ‘composición’ en particular -como se denomina la caja para publicar contenido en Facebook-, específicamente la que permite a las personas saludar a sus amigos en sus cumpleaños, “Ver Como” permitió, por error, publicar un vídeo.
Segundo: Una nueva versión de nuestra función para subir vídeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, generó un token de acceso erróneo que contenía permisos de la app móvil de Facebook.
Tercero: Cuando la función para subir vídeos aparecía como parte de «Ver Como», generaba un token de acceso, pero no para ti, sino para el usuario que tú estabas mirando.
La combinación de estos tres errores fue responsable de generar la vulnerabilidad: al usar la función «Ver Como» para visualizar tu perfil como lo vería un amigo, el código no eliminó la ‘composición’ que permite a las personas desear feliz cumpleaños. Eso hizo que la función para subir vídeos generara un token de acceso cuando no debía hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la página, que los atacantes pudieron extraer y explotar para iniciar una sesión como si fuera otro usuario.
Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener más tokens de acceso.
Para proteger las cuentas de las personas, hemos corregido esta vulnerabilidad. También hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y, preventivamente, restablecimos los tokens de otros 40 millones de cuentas que fueron vistas con la funcionalidad «Ver Como» en el último año. Por último, hemos desactivado temporalmente la función «Ver Como» mientras realizamos una exhaustiva revisión de seguridad.