Un error de Facebook se acaba de descubrir por el investigador de seguridad y cazador de errores Tommy Voss que quedó adjudicado $5,000. La falla le permitió ver la dirección de correo electrónico privado de cualquier usuario de los medios sociales. Por otra parte, el hack hizo posible para él para recoger la mayor cantidad posible de direcciones de correo electrónico, independientemente de cómo los usuarios privados pensaban que eran.
El cazador de errores se encontró con la vulnerabilidad de Acción de Gracias y lo reportó al programa de recompensas de errores Facebook. Se llevó a la compañía varias semanas con el fin de verificar la falla y pagar el investigador de la adjudicación $5,000.
Relacionado: Facebook Messenger App y Chat vulnerable a acciones simples HTML
El escarabajo de Facebook Explicado
El error se derivó de la característica de Facebook Grupos generado por los usuarios que permite a los usuarios crear grupos de afinidad en la plataforma. El investigador descubrió que ser un administrador de un grupo que podía invitar a cualquier miembro de Facebook para tener roles de administración a través de las actividades de Facebook como la edición posterior o añadir nuevos miembros.
Facebook maneja las invitaciones y que fueron enviados a los mensajes de la bandeja de entrada de usuario invitado y dirección de correo electrónico del usuario atada a la cuenta. De Voss descubrió lo que era que podía tener acceso a dirección de correo electrónico de cualquier usuario, sin importar si era amigo de ellos o no. Las opciones de privacidad de las cuentas no eran un obstáculo.
De Voss encontró, además, que a la cancelación de las invitaciones pendientes de los usuarios invitados a ser los administradores de TI ocurrió un problema técnico. "Mientras que Facebook espera la confirmación, el usuario es enviado a un ficha Funciones de página que incluye un botón para cancelar la solicitud," él explicado.
Lo siguiente en su lista fue cambiando a Ver móvil de Facebook de la ficha Funciones de Página donde podía ver la dirección de correo electrónico completa de cualquier persona que deseaba cancelar de convertirse en un administrador del grupo de Facebook. Se dio cuenta de que al hacer clic para cancelar el administrador invitar a la página móvil se le redirige a una página con la dirección de correo electrónico en la dirección URL. Sólo tenía que arrancar la versión de texto claro de la dirección de correo electrónico de otra forma privada desde el URL. Así es como esto parece:
¿Cuál es el impacto del insecto Facebook?
El impacto de la vulnerabilidad puede variar. Para empezar, recoger direcciones de correo electrónico como que contradice la política de privacidad de Facebook y podría conducir a ataques de phishing dirigidos y diversas actividades maliciosas.
Facebook confirmó que la falla no se ha aprovechado en la naturaleza. Una solución ya ha sido implementado para evitar el problema de la explotación en el futuro.