Facebook fue plagado por problemas de seguridad y privacidad tanto reales como imaginarios durante la semana pasada, cuando un gusano verdadero batalló contra uno imaginario en una competencia para ver cual podía dejar más petrificado a los usuarios del servicio.
Facebook fue sacudido por un gusano que se replicó rápidamente por las cuentas de los usuarios, al mismo tiempo que un error de desarrollo en el sistema asustó a los usuarios haciéndoles pensar que habían sido infectados por malware. El gusano auténtico se mostró como una actualización de estado de un contacto infectado, con el mensaje “Mi ex-novia me engañó… He aquí mi venganza!! (“My ex-girlfriend cheated on me…Here is my revenge!“). El desarrollador (del gusano) usó CSS para disparar automáticamente el evento ‘share‘ (compartir) cuando se hace clic en el mensaje, según el blog de Facebook allfacebook.com. Cualquiera que hay hecho clic en el mensaje se lo copió automáticamente a su propia actualización de estado.
Se aconseja a los usuarios cambiar su nombre de usuario y contraseña, si fueron tan desafortunados de haber hecho clic en el enlace.
“Este es un ejemplo de clickjacking, donde un sitio web contiene código incrustado que provoca una acción a tomara mediante el navegador sin el conocimiento del usuario y su permiso”, le dijo Facebook a Infosecurity. Este problema no es específico de Facebook, pero siempre estamos trabajando para mejorar nuestros sistemas y estamos construyendo protecciones contra este tipo de comportamiento.”
“Hemos bloqueado la URL asociada con este sitio, y estamos limpiando los relativamente pocos casos donde fue publicado (algo que los proveedores de correo electrónico, por ejemplo, no pueden hacer)”, agregaron de Facebook. “En general, un porcentaje extremadamente pequeño de usuarios fueron afectados.”
El gusano apareció apenas después de que una ‘aplicación engañosa’ surgiera, preocupando a los usuarios de Facebook. La aplicación, que no tiene nombre, pareció agregarse por si misma a las cuentas de los usuarios sin su consentimiento, según informes de los usuarios de Facebook preocupados.
“Tengo una aplicación llamada Unnamed App (aplicación sin nombre) que fue agregada a mi perfil sin mi consentimiento,” publicó un usuario. “¿Es esto algo que agregó Facebook automáticamente? leí en la actualización de estado de mis amigos que podría ser spyware.. ¿es eso cierto?”
“Este fue un fallo, que ahora hemos reparado”, dice Facebook en su página de seguridad. “No provoca ningún daño en ninguna cuenta. Sea cuidadoso de cualquier sitio que diga que es capaz de solucionar esto, ya que podría contener software malicioso.”
La falla en la interfaz de usuario de Facebook hace que una solapa del sistema, normalmente oculta, sea visible en el navegador. La solapa del sistema tiene Cajas de las aplicaciones que los usuarios de Facebook no quieren que aparezcan en su página normal del perfil.
Los criminales en linea fueron rápidos para crear paginas maliciosas diseñadas para envenenar los resultados de motores de búsquedas destinados a usuarios que intentan encontrar información sobre el asunto.
E incluso otro problema para Facebook, surgen informes de una nueva falla de privacidad aún más seria en el nuevo Panel de Aplicaciones Facebook (Facebook Application Dashboard), que la compañía va a desplegar en su base de usuarios en las próximas semanas. Fue posible para los usuarios ver las últimas aplicaciones que sus amigos estuvieron usando, dice el informe. Los paneles de aplicaciones y juegos han estado disponibles en beta para los usuarios desarrolladores de Facebook para probar sus aplicaciones, previo a un lanzamiento general.
Traducción: Raúl Batista – Segu-info
Fuente: InfoSecurity
clickjacking, CSS, Facebook, malware
