Inicio | Informatica | C:\Noticias | Otra grave vulnerabilidad de seguridad en facebook es descubierta

Otra grave vulnerabilidad de seguridad en facebook es descubierta

05/12/2011 22:31:00 Kakuserver
Tamaño de letra: Decrease font Enlarge font
Aquí vemos a Minipunk en un programa televisivo explicando la falla Aquí vemos a Minipunk en un programa televisivo explicando la falla

Esta vez por un internauta español. Sería un fallo en la seguridad de la red social más grande del mundo relacionado a una de sus nuevas herramientas -provee a sus usuarios un correo electronico con dominio facebook-. Reproducimos graficamente como llegó este internauta a la falla que viene a sumar otro agujero en su historial.

 

Básicamente esta vulnerabilidad consiste en lo siguiente:

Puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro. La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje).

Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario.

El correo electrónico (casi siempre visible en los perfiles) es el que utilizo como remitente.

Y ese es el resultado:

Expongo a continuación los pasos que he seguido para conseguirlo:

Busco en el apartado de información un correo electrónico vinculado a facebook.

Obtengo en nombre de usuario del que recibirá el mensaje (pongo mi propio ejemplo, pero he probado a enviarlo a amigos y el resultado es idéntico).

Relleno el formulario con usuario de facebook y correo del remitente.

Pasados unos minutos facebook me avisa que tengo un mensaje nuevo.

Abro el mensaje y vemos que Carlos Barrabes me ha enviado un mensaje.

También el famoso twittboy

Si nos fijamos arriba a la derecha hay un pequeño triangulito que nos advierte "no se puede confirmar que este mensaje sea de..." pero no avisa en todos.

Por otro lado, esa inapreciable advertencia no la vemos en los smartphones.

 

 

Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo y lo que se puede llegar a hacer con esto es inimaginable.

Actualización:

En ocasiones en la web nos muestra una pequeña alerta de que no se puede comprobar el remitente (cosa que no sucede en smartphones o tablets) y me he dado cuenta de que si el remitente tiene una cuante de correo del tipo Gmail, Hotmail o similares aparece esa alerta; en cambio, si el remitente es de un dominio propio el engaño es 100% efectivo, no muestra alerta en ningún lado.

 

Blog de Minipunk http://el-internauta-de-leon.blogspot.com/

 

 

Suscribirse a alimentadores (feed) de comentarios Comentarios (4 publicado):

Minipunk en 06/12/2011 15:03:51
Respo
avatar
Gracias por haceros eco de la noticia :)
Bueno Malo
1
Ramon Ernesto Maidana en 06/12/2011 18:09:19
Respo
avatar
Gracias a vos minipunk por el esfuerzo. Continua en tu camino que vas bien. Saludos desde el otro lado del atlantico
Bueno Malo
1
Marnie en 19/01/2012 09:18:48
Respo
avatar
Lot of samtrs in that posting!
Bueno Malo
0
Latisha en 19/01/2012 14:52:29
Respo
avatar
Free knowledge like this doesn't just help, it promote deormcacy. Thank you.
Bueno Malo
0
total: 4 | mostrando: 1 - 4

Publicar tu comentario comment

  • Marcado
  • Itálico
  • Subraya
  • Cita

Por favor introduce el código que ves en la imagen:

  • email Enviar a amistad
  • print Imprimir
  • Plain text Texto sin formato
Etiquetado como:
Facebook, Vulnerabilidad, Seguridad, Problemas, Red Social, Usuarios, Alerta
Califica este artículo
5.00

Suscribete a Newsletter