Por Guy Rosen, vicepresidente de Product Management
Queremos ofrecer una actualización sobre el ataque que reportamos la semana pasada. Fue un incidente serio y trabajamos rápidamente para proteger la seguridad de las cuentas de las personas e investigar lo que ocurrió. Como ya explicamos, reparamos la vulnerabilidad y reiniciamos los tokens de acceso a un total de 90 millones de cuentas – 50 millones a las que les robaron los tokens de acceso y otros 40 millones que fueron vistas utilizando la herramienta “Ver Como” en el transcurso del último año. Reiniciar los tokens de acceso nos permitió proteger la seguridad de las cuentas de las personas, obligándolas a iniciar nuevas sesiones en Facebook o cualquier otra aplicación que use Facebook Login.
Nos han preguntado qué significa exactamente este ataque para las aplicaciones que usan Facebook Login. Hemos analizado nuestros registros de todas las aplicaciones de terceros instaladas o iniciadas desde este ataque. Hasta el momento, esta investigación no encontró evidencia de que los atacantes hayan accedido a alguna aplicación que usa Facebook Login.
Cualquier desarrollador que utiliza nuestros Facebook Software Development Kits oficiales (SDKs) – y todos aquellos que han revisado la validez de los tokens de acceso de sus usuarios – quedaron automáticamente protegidos cuando reseteamos los tokens de acceso de las personas. Sin embargo, para ser extremadamente cautelosos, como algunos desarrolladores no usan nuestros SDKs – o revisan regularmente si los tokens de acceso de Facebook son válidos – estamos construyendo una herramienta para permitir que los desarrolladores identifiquen manualmente a los usuarios de sus aplicaciones que puedan haber sido afectados, con el objetivo de que puedan forzarlos a reiniciar sus sesiones.
La seguridad es extremadamente importante para Facebook. Es por eso que sugerimos que los desarrolladores sigan nuestras recomendaciones de seguridad para Facebook Login:
- Usen nuestros Facebook SDKs para Android, iOS y JavaScript. De esa forma revisarán automáticamente la validez de los tokens de acceso todos los días y forzarán un nuevo inicio de sesión cuando son reseteadas por Facebook, protegiendo la seguridad de las cuentas de los usuarios.
- Usen el Graph API para mantener la información actualizada con regularidad y siempre cierren la sesión de los usuarios cuando un error de código muestre que cualquier sesión de Facebook es inválida.
Lamentamos que este ataque haya ocurrido y continuaremos informando a las personas a medida que obtengamos nuevos datos.