Finalmente se supo como fue llevado a cabo el ataque a Facebook que les comenté hace un par de días atrás, el cuál publicaba imágenes explícitas de sexo, violencia e incluso abuso a animales, en la feed de noticias de varios usuarios de la red social.  El mismo fue llevado a cabo con la técnica de inyección de Javascript autoinfligida (self-inflicted JavaScript injection).

Mike Geide, investigador de seguridad de Zxcaler ThreatLabZ explica el ataque en su blog.

Resumiendo lo que escribe en su artículo, Geide explica que JavaScript puede correr directamente desde la barra de direcciónes del navegador.  Cuando el usuario no está corriendo NoScript, que previene el uso de Javascript, este puede ser usado para modificar la página que los usuarios están navegando en ese momento, incluso pueden modificar la forma en que el navegador interactúa con botones y enlaces.

En este caso, JavaScript se uso para interactuar de forma automática con las cuentas de Facebook haciendo que  los usuarios sin darse cuenta gustaran de posts, técnica que se conoce como likejacking.

[Fuente AllFacebook]