Facebook corrigió un error que permitía a cualquiera averiguar a qué grupos privados te uniste

Facebook corrigió recientemente dos errores en sus sistemas que permiten a un no miembro verificar si eres parte de un grupo determinado y elaborar una lista de miembros de la misma ciudad.

Por lo general, si eres parte de un grupo, puedes consultar los perfiles de otros miembros. Pero no es posible cuando no eres parte de él, especialmente cuando el grupo es privado.

Investigador de seguridad Mohamed Shariff | encontró un par de errores que permitían a los no miembros verificar a los miembros del grupo usando consultas en graphql, un lenguaje de consulta desarrollado por Facebook. La primera vulnerabilidad fue que los atacantes pueden ver a miembros de un grupo con la misma ciudad o la misma universidad. Y el segundo error permitió a un no miembro verificar si una persona es parte de un grupo.

Shariff informó de este error a la empresa en agosto. Un portavoz de Facebook dijo que el error se corrigió y no afectó a los grupos privados que estaban ocultos.

Encontramos y arreglamos rápidamente un error que afectaba a los grupos privados visibles, lo que permitía a alguien fuera de ese grupo ver si alguien más era miembro de él. El problema no afectó a los grupos privados que estaban ocultos.

Con esta información, los atacantes con intenciones malintencionadas podrían apuntar a personas que forman parte de un determinado grupo privado y viven en la misma ciudad que ellos. O también podrían crear el perfil de una persona utilizando los grupos privados de los que forman parte para mapear sus intereses y vender esa información a un tercero. Esta solución no pudo llegar lo suficientemente pronto.

¿Sabías que tenemos un evento en línea sobre la próxima innovación corporativa? Únase a la pista Transform en TNW2020 para explorar cómo las grandes empresas siguen siendo relevantes con las nuevas tendencias tecnológicas que surgen todos los días.

Leer siguiente:

10 lecciones de UX que aprendí construyendo mi producto desde cero

//platform.twitter.com/widgets.js

Deja un comentario

Cart
Your cart is currently empty.