Vulnerabilidad crítica en OAuth y OpenID

Una grave vulnerabilidad en los protocolos de autorización y autenticación OAuth y OpenID, puede poner en riesgo a multitud de servicios que los utilizan, desde Google, Microsoft, Yahoo! o Facebook.

La vulnerabilidad, descubierta por un estudiante de doctorado en matemáticas en la Universidad Tecnológica de Nanyang en Singapur, podría permitir a los atacantes obtener contraseñas de acceso, robar datos personales de los usuarios y redirigir a sitios falsos, maliciosos.

El agujero se conoce tras el descubrimiento de la vulnerabilidad OpenSSL Heartbleed y como ella, podría afectar potencialmente a millones de usuarios ya que OAuth y OpenID (protocolos distintos pero complementarios) son usados para validar sesiones en portales como Facebook, Google, LinkedIn, Yahoo, Microsoft o PayPal, entre otros muchos.

Además del robo de datos personales, la vulnerabilidad permite ataques sin conocimiento del usuario al falsear sitios web legítimos.

Aunque las grandes tecnológicas han informado que son conscientes del problema, su reparación no será sencilla ya que dicen se trata de la «responsabilidad de un tercero».