Vulnerabilidad crítica en Facebook permite atacar una página de Facebook con un solo clic

Recientemente, se descubrió una vulnerabilidad crítica en Facebook que permite a los atacantes piratear páginas de Facebook con un solo clic. Esta vulnerabilidad implica que un atacante puede comportarse como un «administrador» de cualquier página de Facebook manejando el «administrador» de la página de destino utilizando la ingeniería social.

Método práctico

El investigador de seguridad Nitin Pandey ha afirmado que piratear una página de Facebook es relativamente fácil mediante ingeniería social y, para explicarlo, Nitin ha descrito todo el procedimiento en detalle; aquí se menciona a continuación:

  • Primero, debe navegar a través de «https://business.facebook.com/».
  • Entonces aquí tienes que iniciar sesión con tu cuenta de Facebook para acceder al portal de Facebook Business.
  • Ahora debe seleccionar la opción «Configuración comercial» de la sección Más herramientas.

  • Después de eso, ahora debe agregar su página, como se muestra en la imagen de abajo, seleccionando el «botón Agregar» (en color azul), y luego debe seleccionar la opción «Solicitar acceso a una página de Facebook».

  • Ahora, una vez que haya realizado el paso anterior, aquí debe seleccionar su página principal para realizar la solicitud, y luego hacer clic en el botón «Siguiente».
  • Aquí, debe escribir el nombre de la página a la que desea dirigirse y desea solicitar acceso.

  • En este punto del área de la sección “Acceso de administrador”, debe activar la opción “Administrar página” y luego hacer clic en la opción “Solicitar acceso”.

  • Después de realizar el paso anterior, su solicitud irá al administrador de la página de Facebook objetivo.
  • Pensemos que un actor de amenazas crea una página de Facebook con un nombre como «Verificación de Facebook», o la ha creado con cualquier otro nombre para representar una solicitud autorizada.
  • Una vez que el actor de la amenaza hizo con la creación de una página de Facebook, entonces la «Solicitud de acceso a la página» se acerca al administrador de la página objetivo. 
  • Aquí, en este caso, si el actor de amenazas ha diseñado inteligentemente la página de Facebook falsa, entonces el administrador sin duda puede considerar que la solicitud proviene de una fuente autorizada y confiable.
  • Ahora, una vez que el administrador «Acepta la solicitud», los actores de la amenaza obtendrán acceso de administrador a la página de destino. Aquí, para explicar el escenario, el actor de amenazas Nitin Pandey usó sus propias páginas, «Hackers Day» y «Soft Yug».