Vulnerabilidad en Facebook: lista con 100 millones de usuarios

A estas alturas de la película, todos sabemos la cantidad de problemas que nos puede traer Facebook en lo que respecta a nuestra privacidad. Desde empleados que son despedidos por culpa de hablar mal de su empresa, a acosos por parte de ex-parejas.

Indice del post:


1.0 - Problemas de la privacidad en Facebook y obtención de los datos
2.0 - Cambiar la configuración de tu perfil para no ser encontrado por esta vulnerabilidad


1.0 - Problemas de la privacidad en Facebook y obtención de los datos



La semana pasada Sean Sullivan de F-Secure comentó en su twitter la existencia de un directorio en Facebook donde se recogían todos los nombres de los usuario que se puedan buscar. Esta pagina es www.facebook.com/directory

fbdirectory.jpg



Con esta información a Ron Bowes se le iluminó la bombilla que todos tenemos en la cabeza. Teniendo al alcance de la mano millones de nombres y apellidos de personas, ¿no se podría confeccionar una gran lista de usuarios para utilizarla con ataques de fuerza bruta? La respuesta para él fue afirmativa, y mediante un script en Ruby obtuvo 171 millones de nombres de usuario (100 millones únicos). Ahora sólo faltaba ordenarlos, crear las diferentes combinaciones de nombre/apellido y empaquetarlo todo en un torrent para compartirlo con la comunidad.

fblists.jpg



Dicho archivo con todos los nombres estan en un torrent creado por el mismo y se lo puede descargar desde Skull Security. Su contenido es el siguiente:
* La URL del perfil de todos los usuarios que se pueden buscar en Facebook.
* El nombre de todos los usuarios de Facebook, por nombre y por cuenta (perfecto para post-proceso, datamining…)
* Listas procesadas, incluyendo nombres y cuenta, apellidos y cuenta, usuarios potenciales y cuenta…
* Los programas que usó para generarlo todo.

Por ejemplo, podemos sacar los top-ten de Facebook, donde John Smith es el claro ganador:
Primera letra del nombre y apellido
129369 jsmith
79365 ssmith
77713 skhan
75561 msmith
74575 skumar
72467 csmith
71791 asmith
67786 jjohnson
66693 dsmith
66431 akhan


Nombre y primera letra del apellido
100225 johns
97676 johnm
97310 michaelm
93386 michaels
88978 davids
85481 michaelb
84824 davidm
82677 davidb
81500 johnb
77800 michaelc


2.0 - Cambiar la configuración de tu perfil para no ser encontrado por esta vulnerabilidad


Para evitar aparecer en esta lista, podemos modificar nuestras opciones de privacidad. Hay que ir a "Cuenta->Configuración de la privacidad", y el primer párrafo será el que aparece en la siguiente imagen:

1
Clickeamos en "Ver configuración", y dentro de las diferentes opciones, cambiar la opción de "Buscarme en Facebook" a "Sólo amigos".

2Con esto estaremos a salvo de nuevas búsquedas. Si no lo tenían configurado así (no es habitual), pueden descargarse el torrent y comprobar si su nombre aparece en él.

Información extraída de:
http://www.securityartwork.es/2010/07/27/problemas-de-privacidad-en-facebook-otra-vez/
http://www.securitybydefault.com/2010/07/la-wordlist-por-excelencia-100-millones.html

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting