Facebook permite revelar el nombre y apellido de sus 500 millones de usuarios

En estos días se está dando a conocer algo muy curioso en Facebook. Cuando un usuario ingresa su email y su contraseña para loguearse pero la contraseña es incorrecta, Facebook devuelve el nombre, apellido, mail y foto de perfil de ese usuario, aún cuando dicho usuario haya configurado su cuenta para hacer que la información privada no sea divulgada.

No se sabe si definirlo como una vulnerabilidad (ya que permite a los atacantes obtener información de una cuenta solo con tener el email, aún cuando el usuario de Facebook tiene aplicadas correctamente las preferencias de seguridad), como un bug (ya que es un error en el sistema de entrada) o como una nueva funcionalidad (ya que lo hace un poco mas "lindo"), pero lo que sí se sabe es que es una fuga de información muy grande, la cual puede ser aprovechada por los estafadores de ingeniería social, phishing o cualquier persona que haya tenido curiosidad por una persona de la cual se conoce solamente su correo electrónico.

Si la dirección de email pertenece a cualquiera de los 500 millones de usuarios activos en Facebook, el sitio de redes sociales devolverá el nombre completo y la imagen asociada a la cuenta.

captura_01 Aug. 11 18.05

"Los usuarios de Facebook no tienen control sobre esto, ya que funciona incluso cuando haya definido todos los parámetros de privacidad adecuada", afirmó Atul Agarwal de las Tecnologías de Secfence el miércoles sobre la divulgación la lista de correos. "La recolección de estos datos es muy fácil, ya que puede ser fácilmente superada."

La explotación de la vulnerabilidad es tan fácil como introducir la dirección de correo electrónico en el Facebook en la página de inicio de sesión, escribir una contraseña aleatoria y oprimir la tecla Enter. Para agilizar el ataque, Agarwal ha escrito un script PHP que trabaja con grandes listas de direcciones de correo electrónico y se puede descargar desde aquí.

En ethical hacking existe una etapa que se denomina Data Minning (minería de datos) y que consiste en la extracción no trivial de información que reside de manera implícita en los datos.

Esto que nos permite el fenómeno creado por Mark Zuckerberg es una herramienta muy poderosa para los hackers y usuarios malintencionados.

 

Downloads del script:

 

Datos a tener en cuenta para correr el script:

  1. Se necesita tener un servidor Apache y cURL instalado (para poder correr el PHP) o subirlo a un hosting que tenga Apache y cURL.
  2. Al script original hay que pasarle como parámetros la ruta a un archivo TXT con los emails a escanear (separados por un salto de línea) y la ruta a un archivo de salida (también TXT).
  3. Como el punto 2 es un poco difícil, me tomé la libertad de modificar el script. En el mismo se le asigna a la variable $tlist la ruta a un archivo TXT con los emails a escanear y a la variable $ofile la ruta a un archivo de salida como se muestra en la siguiente imagen:

Image634172049170922350

Ante cualquier consulta no dude en contactar al autor del post (o sea yo)  Wink

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes