Con un simple plugin de Firefox cualquiera puede apropiarse de una cuenta de Facebook y otras redes sociales
Durante una conferencia titulada “Hey Web 2.0 Empieza a proteger la privacidad de tus usuarios en vez de pretender que lo haces”, Eric Budler demostró como utilizando un simple programita o plugin llamado Firesheep que se le agrega al navegador Firefox cualquier persona sin tener los más mínimos conocimientos de programación es capaz de robar información de un usuario que se está conectando a Facebook a través de una red inalámbrica (WiFi) no asegurada.
El proceso (denominado sidejacking) ocurre una vez que el usuario navega hacia otra página no asegurada (http en vez de https) pero continúa conectado a Facebook. Por ejemplo si el usuario sigue un enlace desde Facebook que apunta a otra página. Al seguir el enlace y abrir una página no protegida, la “cookie” que indica que la sesión continúa vigente en Facebook puede ser robada , ya que es transmitida sin ningún tipo de protección a través de la señal Wifi cuando se navega fuera del formato de https. Una vez que esta cookie es robada, quien la adquirió puede personificar al usuario que dejó la sesión abierta sin necesidad de hacer un nuevo Login al sitio.
El proceso para trabajar con Firesheep es extremadamente sencillo. Cuando la persona agrega Firesheep a Firefox, una nueva barra aparece en el navegador, y todo lo que debe hacer es conectarse a una señal WiFi no protegida y pulsar el botón que dice “Start Catpuring” En pocos minutos, aparecerá la información capturada al lado de la pantalla.
La vulnerabilidad no está limitada a Facebook. Otras redes sociales como Twitter, FourSquare y Windows Live corren el mismo riesgo. (Ver lista completa de todos los sitios afectados por esta vulnerabilidad)
Eric Budler puso Firesheep a disposición de quien lo quisiera instalar gratuitamente, y más de 197,000 personas ya han bajado el programa.
Para quien quiera experimentar con Firsheep, pueden bajarlo aquí