Fallo en Facebook permitía eliminar fotografías de usuarios

fallo seguridad facebook

Facebook está mostrando ser una red social con múltiples fallos y errores, o lo que es lo mismo, lejos de ser segura. Si esto ya lo teníamos claro hace un tiempo, últimamente no dejamos de confirmarlo debido a la multitud de errores que se están destapando desde que Facebook abrió un programa para que los hackers pudiesen ganar dinero a cambio de detectar errores de seguridad.

Sin embargo, la actitud de la compañía de Mark Zuckerberg demuestra su empeño por mejorar su seguridad, sin ir más lejos con la puesta en marcha de su programa de reporte de errores compensados económicamente, que está realmente ayudando.

El último reporte de un fallo, calificado como grave, lo ha hecho el investigador indio Arul Kumar, que ha corrido más suerte que el investigador en seguridad palestino que descubría un fallo reciente que permitía escribir en cualquier muro, sin necesidad de confirmar la amistad, pues ha podido cobrar por su trabajo.

El fallo ha sido explicado con detalle en el blog del investigador que lo ha descubierto, pero aquí resumiremos su funcionamiento. Podemos eliminar una imagen publicada en la que aparezcamos, si no estamos de acuerdo con su publicación, contactando con el soporte de Facebook mediante las herramientas de la red social. Una vez revisada por un empleado, la imagen puede ser eliminada, para lo que se genera un enlace.

Pues bien, el enlace en cuestión tiene dos parámetros que de modificarse pueden permitir que el atacante reciba en su bandeja de entrada el enlace para eliminar cualquier foto y el propietario ni se enteraría.

El funcionamiento es tan simple una vez conocida la vulnerabilidad, que asombra. Si tomamos el enlace:

https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={"first_dialog_phase": 8,"support_dashboard_item_id":396746693760717,"next":"\/settings\/support\/details\/?fbid=396746693760717","actions_to_take":"{\"send_message\":\"send_message\"}"}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

y sustituimos PHOTO_ID por el identificador de la foto y PROFILE_ID por el identificador de perfil del usuario que recibirá el enlace para eliminar la imagen, en este caso el del hacker, éste último recibiría el enlace para eliminarla por completo.

Aquí podemos ver la confirmación por parte del equipo de Facebook al hacker, de que efectivamente se trataba de una vulnerabilidad.