Un fallo sistémico en Internet
Issie Lapowsky escribe en Wired sobre las consecuencias del fallo de seguridad de Facebook, que no sólo ha permitido acceder a las cuentas de 50 millones de usuarios en la red social, sino también a muchos de los servicios que utilizan la API de autenticación de Facebook para sus servicios:
En una auditoría manual de 95 de los sitios web y móviles más populares que ofrecen el inicio de sesión único de Facebook, desde Uber y Airbnb hasta el New York Times o el Washington Post, los investigadores encontraron que solo dos pedían ingresar la contraseña de Facebook en el momento de iniciar la sesión. Polakis lo describe como un caso clásico de compañías que eligen la usabilidad sobre la seguridad. "Si todos los sitios web hubieran habilitado esa opción, en este caso, los atacantes no podrían acceder a servicios de terceros, porque no tendrían la contraseña de Facebook", dice.
Las ramificaciones de este fallo son desastrosas. En servicios como Tinder, los atacantes han podido acceder a mensajes privados de los usuarios, por ejemplo. En muchos de estos sitios, era posible cambiar el email del usuario incluso sin tener que introducir de nuevo la contraseña, permitiendo robar por completo las cuentas de los usuarios.
Lo más preocupante, sin embargo, es que en algunos servicios, incluso si el usuario nunca había usado Facebook como sistema de autenticación, era posible realizar el ataque si la cuenta de Facebook usaba el mismo correo electrónico.