Facebook ha anunciado la corrección de una vulnerabilidad que habría permitido a los actores de amenazas realizar publicaciones en cualquier página sin control de los administradores: “Un atacante podría compartir una publicación en cualquier grupo, perfil o página como si se tratara de una publicación original”, menciona el reporte de seguridad.
La falla fue reportada a la compañía a través de su programa de recompensas por vulnerabilidades. El investigador responsable recibió un pago de 30 mil dólares por el hallazgo y la adecuada presentación del reporte.
El investigador menciona que la falla era tan severa que incluso era posible realizar publicaciones maliciosas en páginas verificadas por la red social: “Los usuarios confían en que estas son plataformas seguras, lo que incrementa los riesgos del ataque”, agrega el investigador.
El investigador recibió un pago por cada uno de los dos exploits que presentó, ambos afectando Facebook Creative Hub. Los empleados de marketing pueden simular anuncios en Creative Hub y crear publicaciones que en la práctica son invisibles para los usuarios de Facebook, lo que permite obtener una vista previa y compartir esta clase de contenido con sus colegas, todo antes de publicar el anuncio real.
La falla permitía crear una publicación invisible para después interceptar la solicitud de Facebook para crear a publicación y cambiar el page_id por el de la página en la que el atacante deseaba publicar: “Después de hacer clic en <<Compartir>>, la API de Creative Hub responde con una nueva URL para compartir la publicación; la URL se presenta de forma similar a https://www.facebook.com/ads/previewer/__PREVIEW_KEY__”.
El asunto es que no se aplica la verificación de permisos antes de generar una publicación, por lo que el ataque permite crear esta nueva publicación en cualquier página con una page_id conocida. Todo lo que hace falta es encontrar el post_id en cualquier endpoint de vista previa de anuncios.
Después de analizar el reporte, Facebook corrigió la vulnerabilidad a finales de noviembre de 2020. El gigante de las redes sociales menciona que no se encontró evidencia de explotación en escenarios reales.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.