Google Translate

viernes, 28 de agosto de 2015

Un fallo en la API de Facebook permite a cualquier atacante acceder a tu identidad… Cambia estos ajustes para evitarlo. #BlogTiSecurity

La seguridad en Facebook siempre es un tema polémico. La privacidad de la red social suele estar en tela de juicio… y es precisamente por cosas como esta.

Un investigador de seguridad, Reza Moaiandin, ha encontrado una forma de explotar una característica de Facebook para obtener datos personales de los usuarios, en función de los ajustes de privacidad que tenga, y aprovechándose de una débil seguridad en la API de la red social. 

Si prestas atención a los ajustes de seguridad en tu perfil de Facebook, encontrarás una caraterística que dice: “¿Quién puede ver mi perfil?”, o “¿Quién puede buscarme mediante mi número de teléfono?”. Por defecto, ambas están activadas para que me persona pueda verlo.

Pero hay un problema, bastante obvio con estos ajustes… y es que permiten que cualquier persona, conocida o no, pueda encontrarte a través de la red social. Y los ciberdelincuentes pueden aprovecharse de esto. Un atacante puede enlazar miles de números de teléfono con sus respectivos perfiles de Facebook, como recogen desde The Hacker News.

Este “agujero” permite a un atacante obtener información personal identificable de millones de usuarios, incluyendo nombre, número de teléfono, localización,  fotografías… dependiendo de los datos que cada usuario haya introducido y los ajustes de privacidad que haya establecido.

El investigador de seguridad usó un script para generar cada posible combinación de número de teléfono de Estados Unidos, Gran Bretaña y Canadá. Un generador que combina los posibles números y usa una Interfaz de programación de aplicaciones de Facebook – Application Programming Interface o API – una herramienta que permite a los desarrolladores diseñar aplicaciones enlazadas a la red social, para obtener los ID de los usuarios de Facebook asociados con cada número de teléfono.

El investigador ha asegurado que podría encontrar más información de los usuarios, si ahondara más en el tema.

El investigador alertó a Facebook sobre este problema de seguridad, y les dijo que preencriptaran las APIs de la red social. Sin embargo, no han cambiado nada, dejando a mil millones de usuarios ante posibles ataques de ingeniería social y robos de identidad. La red social dijo que no creía que se tratara de una vulnerabilidad.

Por el momento, para evitarlo, puedes cambiar los ajustes de privacidad de la red social, que por defecto están configurados para que cualquiera pueda encontrarnos. Accede al menú “Configuración” y desde ahí a la pestaña “Privacidad”, desde el PC, móvil o app.

En la sección “Quién puede buscarme” ajusta la privacidad donde ponga “todos”. Y ya que estás ahí, aprovecha y revisa el resto de tus configuraciones de privacidad, nunca está de más.

0 comentarios:

Publicar un comentario