Conecta con nosotros

Noticias

Bug en Facebook permitía a webs de terceros acceder a datos personales de usuarios y sus amigos

Publicado el

Bug en Facebook permitía a webs de terceros acceder a datos personales de usuarios y sus amigos

El pasado mes de mayo, según apuntan desde Techcrunch, una compañía de seguridad de nombre Imperva descubrió un bug en Facebook, ya corregido, que permitía a las páginas web que tuviesen conocimiento de él y lo explotasen acceder a perfiles de usuarios de Facebook y conseguir información relacionada, de carácter privado, tanto de dichos usuarios como de sus amigos. Para conseguir acceso sólo era necesario hacer una consulta de Facebook Graph.

El descubridor del bug, el investigador de seguridad de Imperva Ron Masas, se dio cuenta de que Facebook estaba expuesto a la vulnerabilidad que permite la falsificación de peticiones de sitios cruzados. Esto implica que Facebook, como cualquier otra página afectada, puede ver cómo desde otra web se consigue acceso a los datos de un usuario que esté conectado a la red a través de la realización de consultas en el código de la red social. Masas localizó el bug mientras investigaba una vulnerabilidad de Chrome que permitía que los hackers consiguiesen información privada de Facebook.

La explotación de este bug es bastante sencilla. Lo único que hay que hacer es integrar un iFrame en una página, esto es, colocar un sitio web dentro de otro, que se encargue de extraer datos de un usuario. Así, cuando un usuario conectado a Facebook visite una página web que tiene código malicioso integrado y pensado para explotar el bug, y haga click en cualquiera de sus elementos, el script integrado en ella empezará a recopilar datos enviando consultas a la red social. Eso sí, conseguirá los datos que respondan a dichas preguntas.

Por ejemplo, si la web que recopila información pregunta si al usuario de Facebook que la está visitando le gusta la lectura, su perfil de Facebook mandará la respuesta correspondiente. El bug también permite hacer preguntas sobre los intereses de sus amigos, así que la información que se recopilaba no se limitaba a datos del visitante. También conseguía información de sus contactos. Incluso si los datos de los amigos de quien visita la web tienen su vista restringida. No sólo con preguntas sencillas, ya que a través de consultas complejas se podía, por ejemplo, conseguir datos sobre un grupo de amigos del visitante de la página que viviesen en una localidad determinada.

Al parecer, aunque el bug permite conseguir información, Facebook asegura que no se ha experimentado ninguna pérdida de datos a causa del mismo. Y han recompensado a Imperva con 8.000 dólares por descubrir el bug a través de su programa de recompensas por la caza de bugs. Además, según han manifestado desde la compañía, «dado que este comportamiento no es específico de Facebook, hemos hecho algunas recomendaciones a los desarrolladores de navegadores y a los principales grupos de estándares web para animarles a tomar medidas para evitar que este tipo de problemas suceda en otras aplicaciones web«.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído