Conocido como social login, la comodidad de no tener la necesidad de crear una
cuenta para utilizar un servicio y utilizar la de otro ya existente puede
resultar un peligro para los usuarios, sobre todo ahora que se ha descubierto
una vulnerabilidad en este sistema. De momento, los servicios afectados por
este problema son LinkedIn, Amazon o MYDIGIPASS, pero no se descarta que haya
más afectados.
Para
todos aquellos que aún no hayan entendido en qué consiste este sistema, vamos a
utilizar como ejemplo el servicio de música en streaming Spotify. Al intentar
hacer uso de este tenemos dos opciones: o crear una cuenta de Spotify o bien
utilizar una existente en la red social Facebook. Utilizar la segunda sería lo
que se conoce en la actualidad como social login.
Los
investigadores que han descubierto el problema de seguridad han confirmado que
es muy fácil utilizar este para hacerse con el control de las cuentas, sin
embargo, han concretado que es necesario que se den una serie de circunstancias
para que el resultado sea satisfactorio.
El
fallo de seguridad detectado consiste en que muchos servicios generan el token
de acceso a pesar de no haberse verificado la cuenta de correo, es decir, el
resultado de utilizar estos credenciales en el inicio de sesión en la red
social o servicio sería infructuoso pero la cuenta ya se ha creado. Por lo
tanto, al no haberse verificado la cuenta de correo otro usuario podría
utilizar esa misma cuenta de correo para crear otra cuenta, sin embargo, esta
tendría los mismo datos que se han introducido con anterioridad.
Es
decir, el acceso a una cuenta ya creada se podría haber tomando como
herramienta una cuenta de correo no verificada. La forma de conocer esta cuenta
de correo sería utilizando un ataque Man-in-the-Middle, algo que no resulta
fácil de hacer, a no ser que te encuentres en una WiFi pública o compartida.
Facebook
y Google+ podrían estar afectadas
- Además de los tres servicios mencionados con anterioridad, parece que las cuenta de la red social Facebook y Google podrían estar afectadas con este problema. El grupo de investigadores remitieron esta información a los responsables de los diferentes servicios y se sabe que algunos han resuelto el problema, o al menos lo han mitigado, pero no ha trascendido la información sobre cuáles lo han hecho.