La compañía explica que el hackeo se debió a una "vulnerabilidad de los navegadores" -no han determinado cuáles- y no a un error del sitio web. Los usuarios eran tentados a copiar y pegar un código JavaScript malicioso en la barra.
Facebook asegura que identificó a los culpables del "spam pornográfico"
Por UNO
Facebook aseguró que ya conoce a los culpables de distribuir material pornográfico y violento en las cuentas de la red social, aunque no dio detalles acerca de la identidad, según informa «Zdnet». Sin embargo, la compañía determinó que el ataque de "spam pornográfico" que comenzó esta semana se debe a una vulnerabilidad en el navegador.
Según el portavoz de Facebook Andrew Noyes, un grupo de hackers están ejecutando una vulnerabilidad del navegador que permite el denominado “self-XSS”. XSS es la abreviatura en los círculos de seguridad de “cross-site scripting”.
Este “cross-site scripting” permite a los atacantes ejecutar un código JavaScript en el navegador con el que se puede acceder y controlar el sitio web con el que el usuario está interactuando. Desde Facebook aseguran que los usuarios eran tentados a copiar y pegar el código JavaScript malicioso en la barra de navegador web. Por el momento, afirman que no conocen qué navegador es vulnerable en este momento.
Teniendo en cuenta que el fallo no está dentro del sitio web de Facebook, parece haber sido bastante difícil para ellos detectar esta amenaza. En realidad, son los desarrolladores de los navegadores web quienes tienen que proporcionar una solución a esta vulnerabilidad.
El equipo de Facebook afirma que están trabajando con rapidez para determinar el comportamiento en las cuentas de los usuarios y cuántos usuarios se han visto afectados para poder borrar cualquier contenido malicioso. “Nuestros esfuerzos han limitado drásticamente el daño causado por este ataque y ahora estamos investigando para identificar a los responsables” asegura Noyes.
Según explican en el blog de seguridad de la compañía Sophos, Naked Security, lo que lleva a los usuarios a pegar ese código JavaScript en la barra de su navegador es el engaño de participar o bien en un concurso, un sorteo o la posibilidad de ganar un premio (engaños típicos para distribuir spam). Para poder acceder a estos “pemios” obligan al usuario a pegar el código en la URL de su navegador.
