4 de enero de 2010

Falla de seguridad en Facebook permitiría el acceso a información privada


Según cuenta la persona que ha publicado la falla, que se hace llamar Slavco, existiría una falla de seguridad en Facebook que permitiría acceder a la información privada de los usuarios sin tener su autorización.


A través del lenguaje de consultas de Facebook llamado FQL (Facebook Query Language) es posible acceder a los datos de usuarios que sólo son compartidos con sus amigos, sin que el atacante sea su amigo.

Como se muestra en la imagen, un ejemplo en donde existen 5 personas que están conectadas por las flechas verdes, en donde podemos apreciar que:

La persona A es amiga de B, pero no es amiga de C, D y E.

La persona B es amiga de C, pero no es amiga de D y E.

La persona C es amiga de D, pero no de E.

La persona D es amiga de E.

Suponiendo que todas estas personas son usuarios estándares de Facebook, es decir no tienen ninguna aplicación mandatoria instalada y además tienen bloqueados sus perfiles que sólo pueden ser vistos por sus amigos, esto quiere decir por ejemplo que A sólo compartirá su información con B.

Esta falla de seguridad permite a la persona A ver toda la información de C, D y E, permite a la persona B ver toda la información de D y E, y permite a la persona C ver toda la información de E, como se puede apreciar con las flechas rojas de la imagen. En resumen todos los amigos de mis amigos que sepan utilizar FQL pueden ver mi información protegida (mensajes de estado, fotos, videos, notas, etc…).

Slavco se está poniendo con contacto con la gente de Facebook para solucionar esta falla de seguridad que afecta la privacidad de todos sus usuarios.

Link con más información: Making Facebook secure place – FQL security issue (Slavco’s Blog)

0 comentarios: