Vulnerabilidad en LINE permite a piratas tomar el control de su chat

Los programas de recompensas por reportes de vulnerabilidades siguen mostrando su eficacia incluso en medio de una pandemia mundial. El investigador Ron Chan, especialista de una empresa de ciberseguridad, reveló el descubrimiento de una grave vulnerabilidad de seguridad que afecta a los usuarios de la plataforma de mensajería instantánea LINE.

La falla de seguridad fue revelada a través de HackerOne, que ha informado que se trata de una vulnerabilidad de referencia directa a objetos inseguros (IDOR) que podría permitir a los actores de amenazas obtener acceso de administrador a cualquier cuenta de LINE.

En su informe sobre el descubrimiento, el especialista de la empresa de ciberseguridad mencionó: Este defecto existe debido a un problema en el que se puede extraer la identificación del grupo; en otros casos se podría adivinar fácilmente. En combinación con la falta de autenticación, esta falla de seguridad permite a los piratas informáticos enviar una solicitud especialmente diseñada que les otorga derechos de administración en la cuenta oficial de LINE de destino.

Chan informó la falla a Line a través del programa de recompensas de vulnerabilidad de la compañía, operado por HackerOne, en septiembre de 2019. Los especialistas de la empresa de ciberseguridad afirman que esta falla podría conducir a una escalada de privilegios y se considera un problema de alta gravedad. Poco después de recibir el informe, LINE comenzó a trabajar para lanzar una solución para abordar esta falla. LINE otorgó una recompensa de $ 4,750 USD al investigador.

Este no es el único problema de seguridad que afecta al servicio de mensajería descubierto recientemente. En febrero pasado, la compañía divulgó públicamente una campaña maliciosa que involucraba miles de intentos de inicio de sesión no autorizados; La mayoría de los usuarios afectados (unas 4.000 personas) se encontraban en Japón.

En esa ocasión, los investigadores revelaron que los actores de la amenaza detrás de esta campaña maliciosa atacaron las cuentas que recibieron decenas de mensajes de spam y phishing con el objetivo de secuestrar sus cuentas LINE. Como medida de seguridad, LINE forzó un restablecimiento masivo de la contraseña, entre otras medidas preventivas.

Para obtener más información sobre fallas de seguridad, exploits y ataques cibernéticos recientemente descubiertos, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta