Búsqueda automatizada de cuentas Facebook asociadas a un correo electrónico o teléfono




Vuelven las noticias sobre los problemas de seguridad de Facebook, la red social más popular, si bien se le hace difícil "prevenir" la seguridad de sus usuarios un sitio que paradógicamente está hecho para "compartir".
Existen muchas maneras de encontrar a personas que usen Facebook, usando el propio buscador o simplemente consultando el nombre de una persona en Google. Sin ser usuario registrado, es posible conocer además a todos los contactos de un usuario, acceder a la foto del perfil, al nombre y si con un poco de suerte podemos conocer detalles sobre su vida.
Lo que viene a continuación corresponde a un fallo de seguridad encontrado en la versión móvil de Facebook, que afecta a todos los usuarios. Este bug nos permite saber si existe una cuenta asociada a una dirección de correo o número telefónico.

La vulnerabilidad se encuentra cuando cualquier usuario podría "importar" una lista de correos y buscar coincidencias o simplemente usar el buscador de Facebook ingresando la dirección de un correo, el proceso se puede realizar a la vez de manera automatizada, sin ningún tipo de filtros, pudiendo afectar a más de un usuario. Este mismo procedimientos no se puede hacer en la versión principal de la red social, ya que tiene un CAPTCHA que no permite al bot realizar su trabajo.



El bug se encuentra en la opción "Recuperar contraseña" de la versión mobile (m.facebook.com), el formulario donde se realiza el proceso de reinicio de contraseña de validación de seguridad, como captchas y no tiene tokens de seguridad, esto permite que se puedan realizar peticiones POST desde un sitio remoto o usando herramientas como curl o wget . Así es posible explotar esta vulnerabilidad para obtener nombres de usuarios válidos según una lista de direcciones de correo o de números telefónicos, constituyendo una violación de la privacidad de los usuarios.

En el caso resulta obvio que la fisura de seguridad constituye la posibilidad de conseguir un listado de usuarios válido dada una lista de correos, muy conveniente para conseguir correos por spammers o pensemos en una empresa donde es importante la confidencialidad de los correos de los empleados, sería una valiosa manera de validar esos correos como correctos. 

La respuesta de Facebook fue:


The ability to locate one of your friend's by their email address is core part of interacting with your friends on Facebook. When a user signs up to Facebook, there is an expectation that they may be located in this manner. An email --> user mapping is exposed in several parts of the site (predominantly, in search).

La privacidad de los usuarios no tiene la mayor relevancia, creo entender.

Mas entradas de la Seguridad informática en este blog.

Fuente: http://www.securitybydefault.com/
Publicar un comentario