Los intentos fallidos de inicio de sesión de Facebook revelan información privada
- Categoría: Facebook
Facebook no parece descansar estos días cuando se trata de privacidad. El investigador Atul Agarwal descubrió un nuevo error el miércoles, que permitía a cualquiera hacer coincidir una dirección de correo electrónico con el nombre y la imagen de perfil de un usuario de Facebook.
Facebook ha diseñado el proceso de inicio de sesión para proporcionar información adicional al usuario si la combinación de correo electrónico y contraseña utilizada para iniciar sesión no coincide.
En lugar de simplemente mostrar una advertencia de que la información de inicio de sesión no era correcta, Facebook fue un paso más allá y mostró la información de 'Iniciar sesión como' en la página. Esto incluía la foto de perfil del usuario y el nombre completo independientemente de la configuración de privacidad de ese usuario en Facebook.
Atul describió el problema en detalle en Seclistas :
Hace algún tiempo, noté un problema extraño con Facebook, había ingresado accidentalmente una contraseña incorrecta en Facebook y mostraba mi nombre y apellido con una foto de perfil, junto con el mensaje de contraseña incorrecta. Pensé que el hecho de que mostrara el nombre tenía algo que ver con las cookies almacenadas, así que probé con otras identificaciones de correo electrónico y fue lo mismo. Me pregunté sobre las posibilidades y escribí una herramienta POC para probarlo.
Este script extrae el nombre y apellido (proporcionados por los usuarios cuando se registran en Facebook). Facebook tiene la amabilidad de devolver el nombre incluso si la combinación de correo electrónico / contraseña proporcionada es incorrecta. Además, también
da la imagen de perfil (esta secuencia de comandos no la recopila, pero también es fácil agregarla). Los usuarios de Facebook no tienen control sobre esto, ya que esto funciona incluso cuando ha configurado todas las configuraciones de privacidad correctamente. La recopilación de estos datos es muy fácil, ya que se pueden omitir fácilmente mediante el uso de un grupo de proxies.
El problema ha sido solucionado en un tiempo récord por Facebook. Sin embargo, significa que
el problema de la privacidad fue explotado por todos, incluidos los usuarios sin una cuenta de Facebook, hasta que se aplicó la solución.
En un lenguaje sencillo, cualquiera que descubrió el problema pudo vincular direcciones de correo electrónico a nombres reales y fotos de perfil en Facebook, incluso sin una cuenta.
Los atacantes dedicados pueden haber utilizado la automatización para extraer la información en masa de Facebook.
El código de prueba de concepto que escribió Atul mostró que los usuarios malintencionados podrían haber aprovechado el problema para crear una enorme base de datos de direcciones de correo electrónico vinculadas y nombres completos, lo que podría ser desastroso si se usa en campañas de phishing u otros usos maliciosos.