Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Fallo en API de Facebook expone millones de datos personales




Un fallo de seguridad de Facebook  descubierto por Reza Moaiandin  a través de su API  permite la recopilación masiva de datos personales de sus usuarios. La solución pasa por un simple cambio en la configuración de la privacidad.



Se ha descubierto un agujero de seguridad en Facebook que permite a los hackers para descifrar y olfatear Facebook ID de usuario utilizando una de las API de Facebook  - por lo tanto, lo que les permite recoger millones de datos de los usuarios personales:

  • Nombre
  • Número de teléfono
  • Ubicación
  • Imágenes, y más

A través de esto, un hacker puede entonces comunicarse con GraphQL de Facebook para obtener tantos detalles como sea posible, al pasar el ID de hash.

¿Qué significa este tema para los usuarios de Facebook?

Desafortunadamente, para los 1440 millones de personas que actualmente utilizan Facebook, esto significa que para los vendedores del mercado negro pueden acceder a los nombres y números de teléfono móvil en tan sólo una hora a través de ingeniería inversa.


Un fallo con el que se puede obtener hasta el número de teléfono

Reza Moaiandin, director técnico de esta empresa, descubrió hace unos meses un fallo en la seguridad de la red social que permitiría a un hacker a través de una de las APIs de Facebook husmear en cualquier perfil de usuario. Eso significa obtener sin dificultad y de manera masiva datos personales como nombre, número de teléfono o ubicación, entre otros.



Cuenta como si se echa un vistazo en la configuración de privacidad se encuentran las opciones ¿Quién puede buscarte con la dirección de correo electrónico que has proporcionado? o ¿Quién puede buscarte con el número de teléfono que has proporcionado?. Por defecto están establecidas para que cualquiera pueda hacerlo y ahí radica el problema puesto que es a través de esta configuración como Moaiandin consiguió vincular los números de teléfono a las cuentas de usuario.

Lo hizo utilizando un script que generó todas las combinaciones posibles de teléfono utilizadas en Reino Unido, Estados Unidos y Canadá. Utilizando la API que permite a cualquier persona programar aplicaciones para Facebook fue capaz de reunir los identificadores de usuario asociados a cada uno de estos números.



Los datos que devolvía eran número de teléfono, nombre completo, foto de perfil, tipo de teléfono y versión de Facebook Messenger que utiliza ese usuario. Moaiandin apunta que podría haber obtenido más información si hubiese seguido investigando.


Con este fallo de seguridad, una persona con los conocimientos adecuados puede recopilar información no privada de los usuarios que permite el acceso público a números de teléfono, posibilitando entonces el uso o venta de estos datos para propósitos con los que tal vez éste no esté muy contento.

La respuesta de Facebook



¿Cuál es la solución a este problema de privacidad de Facebook?

Pues aunque Moaiandin se puso en contacto con Facebook dado que cree que el fallo es fácilmente solucionable, desde la red social le comunicaron que no fueron capaces de reproducir el error y, de hecho, dicho fallo continúa sin ser solucionado. Ahora bien, sí le dicen que tienen medios para monitorizar este tipo de comportamientos y detectar abusos realizados con sus APIs.

Bueno, mientras Facebook reproduce o no el proceso que ha llevado a esta persona a la obtención de datos personales de cualquier usuario nosotros mismos podemos solucionar el error de privacidad.

Para ello tan sólo se necesita un sencillo cambio en la configuración de la privacidad que pasa por no compartir el teléfono en tu perfil. Eso o cambiar la configuración por defecto que permite a Todos encontrarte por el número a sólo Amigos, opciones que muchas personas todavía no han modificado.



A pesar de los numerosos casos que no dejan de darse en relación al robo de datos masivo en redes sociales y otros servicios web y que continuamente vemos en las noticias, no deja de sorprender cómo hay muchísimos usuarios que todavía no toman las medidas más básicas, las que dependen de ellos, para poner a buen recaudo su privacidad.

Fuentes:
http://www.malavida.com/noticias/un-fallo-en-la-privacidad-de-facebook-expone-datos-personales-masivamente-005462
https://salt.agency/blog/facebook-security-loophole/

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.