Skip to main content

Fallo en Facebook permitía eliminar fotografías de usuarios

fallo seguridad facebook

Manu Vilella Salcedo

03/09/2013 - 00:55

Un hacker encuentra la manera de eliminar una imagen cualquiera de Facebook.La vulnerabilidad estaba relacionada con el enlace que se generaba y entregaba al usuario para borrar la imagen.Es una nueva muestra de que la seguridad en Facebook necesita mejorar.

Facebook está mostrando ser una red social con múltiples fallos y errores, o lo que es lo mismo, lejos de ser segura. Si esto ya lo teníamos claro hace un tiempo, últimamente no dejamos de confirmarlo debido a la multitud de errores que se están destapando desde que Facebook abrió un programa para que los hackers pudiesen ganar dinero a cambio de detectar errores de seguridad.

Sin embargo, la actitud de la compañía de Mark Zuckerberg demuestra su empeño por mejorar su seguridad, sin ir más lejos con la puesta en marcha de su programa de reporte de errores compensados económicamente, que está realmente ayudando.

El último reporte de un fallo, calificado como grave, lo ha hecho el investigador indio Arul Kumar, que ha corrido más suerte que el investigador en seguridad palestino que descubría un fallo reciente que permitía escribir en cualquier muro, sin necesidad de confirmar la amistad, pues ha podido cobrar por su trabajo.

El fallo ha sido explicado con detalle en el blog del investigador que lo ha descubierto, pero aquí resumiremos su funcionamiento. Podemos eliminar una imagen publicada en la que aparezcamos, si no estamos de acuerdo con su publicación, contactando con el soporte de Facebook mediante las herramientas de la red social. Una vez revisada por un empleado, la imagen puede ser eliminada, para lo que se genera un enlace.

Pues bien, el enlace en cuestión tiene dos parámetros que de modificarse pueden permitir que el atacante reciba en su bandeja de entrada el enlace para eliminar cualquier foto y el propietario ni se enteraría.

El funcionamiento es tan simple una vez conocida la vulnerabilidad, que asombra. Si tomamos el enlace:

https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={"first_dialog_phase": 8,"support_dashboard_item_id":396746693760717,"next":"\/settings\/support\/details\/?fbid=396746693760717","actions_to_take":"{\"send_message\":\"send_message\"}"}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

y sustituimos PHOTO_ID por el identificador de la foto y PROFILE_ID por el identificador de perfil del usuario que recibirá el enlace para eliminar la imagen, en este caso el del hacker, éste último recibiría el enlace para eliminarla por completo.

Aquí podemos ver la confirmación por parte del equipo de Facebook al hacker, de que efectivamente se trataba de una vulnerabilidad.

mensaje equipo seguridad facebook

Ver ahora:

Sobre el autor

user Manu Vilella Salcedo

Colaborador

Me encanta la tecnología, la comunicación y la publicidad. Esto me llevó hasta Axel Springer en 2013. ¡Encantado de escribir para ti!

Te recomendamos