Una nueva vulnerabilidad de Facebook permite a los atacantes saber qué perfil de usuario está vinculado a una dirección de email

En este último mes hemos tenido noticia de un par de casos de filtraciones de datos personales de usuarios de Facebook: primero los más de 500 millones de teléfonos de usuarios disponibles en Internet, y pocos días después, el bot disponible en Telegram que vendía teléfonos vinculados a likes en fanpages.

Pero, como no hay dos sin tres, ayer se hizo público un nuevo caso: dos investigadores de ciberseguridad de la firma Hudson Rock (Alon Gal y Ashkan Soltani) han hecho pública una nueva vulnerabilidad de esta red social...

... que permite conocer qué dirección de e-mail está detrás de un determinado perfil de Facebook (incluso cuando aquella no es públicamente accesible). Bastaría, según parece, con que la configuración de privacidad de la misma sea cualquier opción distinta a "Sólo para mí".

Peor aún, ya existe una herramienta que estaría explotando activamente esta vulnerabilidad... permitiendo realizar decenas de millones de comprobaciones por día, comparando listados públicos de e-mails y mostrando qué cuentas de Facebook están vinculados a los mismos.

Y, según esos mismos investigadores, los datos arrojados por esta herramienta, disponible en la Darknet, se estarían usando ya para vulnerar las cuentas de los anunciantes de Facebook.

A Facebook se le 'pasó' corregir la vulnerabilidad

Lo peor es que la vulnerabilidad que ha permitido esto era conocida desde hace tiempo por Facebook, pero no fue solventada... porque, según reza la respuesta oficial de la compañía,

"cerramos erróneamente este informe de recompensas por errores antes de dirigirnos al equipo adecuado".

Imagen (censurada, para proteger datos personales) de la herramienta en acción.

Facebook ha agradecido a los investigadores de Hudson Rock que "haya compartido esta información" y ya está "tomando las acciones iniciales para mitigar este problema".

Soltani y Gal supieron de este agujero de seguridad a través de una 'fuente' que les hizo llegar un vídeo en el que se veía cómo actuaba la herramienta en cuestión. En el mismo, se oye también una voz no identificada:

"Estoy consultando 65.000 direcciones de correo electrónico. Y como puede apreciarse en el registro de salida [visible en el vídeo], estoy obteniendo una cantidad significativa de resultados de las mismas".

"Esta no es sólo una gran violación de la privacidad, sino que generará una nueva filtración de datos de gran calibre. [...] Creo que esta es una vulnerabilidad bastante peligrosa y me gustaría que me ayudaran a detenerla.

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta