Facebook y Twitter fallan en las pruebas básicas de seguridad

9 nov 2010

Desde hace tiempo se viene discutiendo acerca de la seguridad que nos brindan los servicios a través de la web. El sitio Digital Society realizó un estudio hace algunos días, donde pone de manifiesto las brechas de privacidad en la grandes páginas de Internet del momento.

En la investigación se trabajó con once de los sitios más visitados del mundo, y los resultados arrojaron que ni Facebook ni Twitter cumplen con los requisitos mínimos de seguridad. Es más, ambas redes sociales presentan graves fallas que permiten que las cuentas de sus usuarios sean vulneradas.

Los motivos por los cuales ambas páginas fallan en la seguridad son demasiado técnicos como para explicar en un posteo común y corriente. Pero pongamos el foco sobre la protección SSL (Secure Sockets Layer), que es el método que rige en los principales sitios de correo electrónico, compras en línea y demás servicios similares.

La prueba de que estamos navegando en un sitio con SSL la vemos en la barra de direcciones, ya que en lugar de aparecer http:// aparece https://. Pero lo importante aquí es que ni Facebook ni Twitter presentan un sistema de autenticación con el mencionado nivel de protección.

En el gráfico recién presentado se pueden ver las comparaciones entre las diferentes páginas. Cuando se habla de “Partial Sidejacking” significa que un intruso puede introducir cookies en el equipo de otros usuarios y robar información de su cuenta en cualquier sitio al que ingrese. Es una falla importante, pero el hacker no puede acceder a todo el perfil de la víctima.

En el caso de “Full Sidejacking”, un pirata puede ingresar a toda la cuenta de otra persona y manejarse a gusto y placer. Sin embargo, no puede cambiarle la contraseña porque en muchos servicios se requiere que se re tipee la password vieja. Y en “Full Hijacking”, el intruso gana el control completo en la cuenta de otra persona, e incluso puede cambiar su contraseña.

Como verán, ni Facebook ni Twitter brindan la seguridad necesaria como para garantizar la privacidad de los usuarios. Estos problemas podrían terminarse rápidamente con la implementación de una protección SSL en la autenticación.

Enlace: Digital Society.



  • http://www.joni2back.com.ar/ Joni2Back

    Hay 2 temas, Facebook y Twitter si usan SSL, no de forma automatica-completa, sino que obligatoria para el logueo, en la cual vamos a poder prevenir el sniffeo de datos de login.. y manual para la navegacion, malo en el sentido de poder sniffear las cookies de la session.
    Esto puede que no se haya implementado tan basicamente ya que el ajax por ejemplo con ssl en facebook no funciona.

  • Joe90kz

    Disculpa que te contradiga en lo dcho Joni, pero no usa SSL ni en el proceso de acceso (logueo) a la pagina ni en procedimiento alguno. Si haces un trazado del proceso a través de las herramientas de rastreo, verificarás que no existe ningún conector/puerto (socket/port) configurado para SSL.
    Si quieres hacer un rastreo (sniffer) con herramientas air o snort, verificarás que es factible obtener paquetes compleros y claro posteriormente sacar de los encabezados las claves de acceso (passwords) con diccionario o fuerza bruta.
    De ahí la sencilles de poder utilizar scripts para introducir en los paquetes capturados la incormación necesaria para implantar cookies.
    Trato de entender qu el ajax no funciona en FB, pero el detalle es que no está implementado en es red social por no necesitarse en si. Salvo el autorefresco que tiene despues de un tiempo y cuando accesas algún enlace (link).

  • http://www.puntofape.com Pablo

    Para mi ambos son nada de confiar. Este artículo comprueba mi teoría. igual, uso Facebook pero me gustaría que se preocuparan mas por el usuario y sus datos (pero se preocuparan de forma seria)

  • Miguel García

    Era de esperarse.. y sin embargo seguimos utilizándolos..