16 de noviembre de 2015

2FA Facebook - Comprueba su Configuración!

Mediante la presente entrada lo que veras son una serie de pruebas realizadas y basadas en el comportamiento del 2FA de Facebook, supuestamente una cuenta con dicha opción de seguridad activada debería estar protegida mediante el aviso de inicios de sesion, la solicitudad de un código temporal generado por algun generador de códigos, en este caso el Google el Authenticator, pues bien...

Dependiendo que configuración establezcas en tus navegadores de preferencia como lo pueden ser Mozilla Firefox, Chrome, Opera, el aviso de inicios de sesión puede que no funcione...


Puede dejar de funcionar y no solicitara los códigos de verificación ni a ti ni a nadie por que esta desactivado.

Ser víctima de un robo de credenciales con estas medidas de seguridad supuestamente activadas y configuradas correctamente seria debido a previamente haber sido víctima de una falsa sensación de seguridad y te explico el por que...

'A continuación una captura de pantalla de las posibles causas por las que puede dejar de funcionar o simplemente no funcionar nunca el aviso de inicios de sesion según el soporte técnico de Facebook:


Si debido a la configuración del navegador que estabezcas, la aprobación de inicios de sesión puede fallar, creo que esto lo que produce es una falsa sensación de seguridad haciendote creer que si otra persona inicia sesion en tu cuenta de Facebook le va a pedir el código y que a ti no te los pide por que tus dispositivos están registrados/asociados a dicha cuenta, Fail!

'Incluso sin ningún dispositivo asociado  a dicha cuenta, nunca le pedira el codigo de verificación a nadie por que se desactiva la aprobación de inicios de sesión en Facebook'


Si restauras la configuración de Mozilla Firefox como viene por defecto, desactivas todo lo que tenga que ver con el 2FA, eliminas el generador de códigos, eliminas dicha cuenta del Google Authenticator e intentas configurarlo todo de nuevo, no podras hasta pasados unos días, tiempo en el que tu cuenta sera vulnerable, ante un robo de credenciales/password, "los amigos de lo ajeno" tendrían acceso total a tu cuenta sin problema alguno e incluso desde cualquier dispositivo móvil e iniciando sesión desde la App de Facebook Messenger, por ejemplo...


Despues de dicha incidencia/conflicto en la configuracion solo te sera posible activar las siguientes opciones de seguridad en Facebook;

1.- Alertas de inicio de sesión en Facebook, vía; Correo electrónico y Mensajes de texto 'SMS'


2.- Parear y configurar el generador de códigos en este caso; Google Authenticator para Android.
 

Pero no podrás activar la aprobación de inicios de sesión hasta pasados unos días.


A continuación si quieres puedes ver un vídeo de todas las pruebas y posibles combinaciones en la configuración de los navegadores, el comportamiento del 2FA en Facebook, la solicitud de inicios de sesion por codigo generados con Google Authenticator, etc..


WARNING!
Esta demo esta realizada en un entorno virtual y controlado por lo que en ningún momento del vídeo se rompe la seguridad de ninguna cuenta ajena, este vídeo es solo con fines educativos para usuarios que al igual que yo ansían conocer el nivel de seguridad de sus infraestructuras he instalaciones inalámbricas, etc.. no me hago responsable del mal uso que se pueda llegar hacer de la información aquí mostrada y es por ello que no se dará soporte a cualquier intrusión ajena o sobre lo que no se tenga autorización para realizar su auditoría de seguridad.

Desde mi punto de vista/opinión creo que el problema realmente si repercute en la seguridad del usuario, pues ante un robo de credenciales un ciberdelincuente lo tendría muy fácil para hacerse con x cuenta "saltándose así la verificación en dos pasos" aun teniendo el aviso por sms activado ya que dicha opción/método de seguridad solo sirve para avisar al usuario o dueño de X cuenta pero, no bloquea el acceso. Y una vez dentro?...

Eso ya depende del ingenio/intenciones de cada uno/a, pero tranquilamente se podría proceder a cambiar los datos de acceso, robar la cuenta, hacer lo que quieras practicamente, como por ejemplo, suplantación de identidad o extorsión entre otras, así que no estaría de mas que compartieras dicha entrada/articulo/ para alertar y concienciar al mayor numero de personas posibles con el fin de que revisen cuanto antes la configuración de seguridad de sus preciadas cuentas de Facebook.

De todo esto que os cuento avisé a Google, Facebook, Firefox y decidieron que NO era un bug. Avisa tu compartiendo esta entrada con todos tus amigos y conocidos por que Facebook, etc no lo haran.

Chat de Inseguro y Navegando
OPCIÓN 1 | OPCIÓN 2 |

Saludos Inseguros!