Un bug permitía obtener datos de cualquier usuario de Facebook de manera silenciosa

Ron Masas, investigador de seguridad de la compañía Imperva, descubrió un error de seguridad en Facebook que podría haber expuesto datos de todos los usuarios de la plataforma.

Afirman que este nuevo bug de Facebook permitía a cualquier página web obtener información acerca del perfil de los usuarios: me gusta, intereses, etc. Masas descubrió esta vulnerabilidad el pasado mes de mayo, momento en el que avisó a Facebook de este problema.

Una recompensa de 8.000 dólares

Según el informe de Imperva, cualquier página podía recopilar información de los perfiles sin ser percibido a través de un sencillo iframe. Al parecer, el sistema de resultados de búsqueda de la red social no disponía de los mecanismos adecuados de protección contra un tipo de exploit (CSRF).

En el siguiente vídeo podemos comprobar cómo, gracias a esta vulnerabilidad, Masas es capaz de ir recopilando intereses de un usuario de Facebook en tiempo real:

Facebook asegura que ya han subsanado este problema

De esta manera, se podía recopilar datos valiosos acerca de los gustos de los usuarios: “¿le gusta correr?”, “¿tiene amigos en México?”. Afortunadamente, un portavoz de Facebook aseguró a TechCrunch mediante un comunicado que no se robaron datos de usuario utilizando este sistema.

Agradecemos el informe de este investigador a nuestro programa de recompensas de errores. Dado que el comportamiento subyacente no es específico de Facebook, hemos hecho recomendaciones a los fabricantes de navegadores y a los grupos de estándares web pertinentes para animarles a que tomen medidas para evitar que este tipo de problemas se produzcan en otras aplicaciones web.

Por haber encontrado e informado de este error, Facebook otorgó a Imperva 8.000 dólares (unos 7.000 euros) a modo de recompensa. La red social ha querido dejar claro que esta vulnerabilidad ya ha sido subsanada y han implementado protección contra ataques CSRF.

También te recomendamos


Logran explotar una vulnerabilidad en Microsoft Edge que permite acceder a otras apps desde el navegador


Cinco recetas de otoño ideales para maridar con un vino


Un bug en Windows 10 permitía a las apps universales acceso total a todo el sistema de archivos sin permiso del usuario


La noticia

Un bug permitía obtener datos de cualquier usuario de Facebook de manera silenciosa

fue publicada originalmente en

Genbeta

por
Santi Araújo

.

Powered by WPeMatico

Aquí puedes comentar sobre este artículo

comentarios

Esta web utiliza cookies . Si continuas navegando estás aceptándola