La falla de seguridad que afectó a Facebook esta semana fue peor de lo que se sabe oficialmente hasta el momento.
Lo anterior, debido a que los sitios o aplicaciones asociados a la cuenta de entre 50 y 90 millones de usuarios también podrían haber sido accedidos por desconocidos a través del error en la funcionalidad llamada “ver como”, con la que se puede apreciar cómo otros ven un perfil.
Específicamente, hackers podrían haber tenido acceso a la información de Facebook y de cualquier otro portal -como Instagram- a través de la opción single sign-on, o autenticación única en español.
Con ésta, en vez de crear un perfil para diversos sitios, un usuario puede vincular diferentes cuentas a través de un servicio confiable, como Facebook, para ingresar a servicios y páginas de manera más expedita.
“El token de acceso habilita a que alguien use la cuenta como si ellos fueran los dueños. Esto significa que ellos pueden haber accedido a otras aplicaciones usando Facebook”, dijo el vicepresidente de gestión de Productos de Facebook, Guy Rosen a Wired.
“Los desarrolladores que usaron el inicio con Facebook se darán cuenta que aquellos tokens de acceso fueron reseteados (…). Estamos comenzando a dilucidar el completo alcance de lo que hemos visto acá”, dijo el ejecutivo.
No obstante, según el citado medio, no está claro hasta cuándo estos sitios vinculados aceptarán tales tokens, ni qué tan difícil será para un atacante utilizar uno de éstos para acceder a alguno de estos portales.
Facebook tampoco ha confirmado si las páginas asociadas efectivamente fueron víctimas de un ataque o si sufrieron el robo de información, ni tampoco por cuánto fueron vulnerables.
Pese a ello, la empresa de Mark Zuckerberg –que también fue víctima del hackeo, según The New York Times– anunció que ya invalidó todos los datos de acceso para quienes podrían haberse visto afectados por esta situación, por lo que si desean utilizar alguno de los servicios que tenían vinculados deberán sí o sí actualizar su contraseña.
