Falla de seguridad en Facebook permitiría el acceso a información privada


Según cuenta la persona que ha publicado la falla, que se hace llamar Slavco, existiría una falla de seguridad en Facebook que permitiría acceder a la información privada de los usuarios sin tener su autorización.





A través del lenguaje de consultas de Facebook llamado FQL (Facebook Query Language) es posible acceder a los datos de usuarios que sólo son compartidos con sus amigos, sin que el atacante sea su amigo.

Como se muestra en la imagen, un ejemplo en donde existen 5 personas que están conectadas por las flechas verdes, en donde podemos apreciar que:
La persona A es amiga de B, pero no es amiga de C, D y E.
La persona B es amiga de C, pero no es amiga de D y E.
La persona C es amiga de D, pero no de E.
La persona D es amiga de E.

Suponiendo que todas estas personas son usuarios estándares de Facebook, es decir no tienen ninguna aplicación mandatoria instalada y además tienen bloqueados sus perfiles que sólo pueden ser vistos por sus amigos, esto quiere decir por ejemplo que A sólo compartirá su información con B.

FQL

Esta falla de seguridad permite a la persona A ver toda la información de C, D y E, permite a la persona B ver toda la información de D y E, y permite a la persona C ver toda la información de E, como se puede apreciar con las flechas rojas de la imagen. En resumen todos los amigos de mis amigos que sepan utilizar FQL pueden ver mi información protegida (mensajes de estado, fotos, videos, notas, etc…).

Slavco se está poniendo con contacto con la gente de Facebook para solucionar esta falla de seguridad que afecta la privacidad de todos sus usuarios.

Enlaces:
http://mkdot.net/blogs/slavco/archive/2009/12/29/11338.aspx

Making Facebook secure place – FQL security issue (Slavco’s Blog)
http://mkdot.net/blogs/slavco/archive/2009/12/29/11338.aspx

Fuente:
Por Chihau
http://www.fayerwayer.com



Otras noticias de interés:

Denegación de servicio (DoS) en Firefox 1.5
Se ha publicado un exploit para el nuevo Firefox 1.5, el cuál puede provocar una condición de denegación de servicio (DoS) luego que el usuario afectado visita una página web maliciosa....
SSL bug persiste en IE o Safari
Nueve semanas después que un hacker demostrara en la conferencia de seguridad Black Hat una vulnerabilidad que afecta al protocolo de cifrado SSL (Secure Sockets Layer), el más usado en aplicaciones de comercio electrónico, multitud de sitios y ap...
Seguridad en la web
Con el incremento del uso de Internet, también aumentan las amenazas tanto a las empresas proveedoras de este servicio, como a los propios usuarios, a través de métodos como el spam o correo basura....
Detenida una red de falsificación de sistemas Windows XP
La Brigada de Investigación Tecnológica de la Policía, en colaboración con Microsoft, ha desarrollado en San Sebastián una importante operación contra la piratería informática....
Puyo Puyo llega al mundo Linux
Xpuyopuyo es un puerto para Unix y Linux del conocido puzzle de toda la vida, que tantas pasiones ha levantado. ...
Parches no actualizados son la mayor amenaza de seguridad
El 51% de los puestos de trabajo tenían mal instalados sus cortafuegos y el 15% no habían actualizado su software de seguridad. ...
Intel bautiza su nuevo procesador de 64 bits como Itanium 2
Tal y como se esperaba, Intel ha bautizado como Itanium 2 al segundo de los procesadores de la familia Itanium de 64 bits. Además, la compañía ha anunciado que reanudará la construcción de una nueva planta de fabricación de chips en Irlanda. ...
No mas MS-MS-Word ¿Podemos acabar con los archivos adjuntos en MS-Word?
¿No es odioso recibir documentos de MS-Word en mensajes de correo electrónico? Los archivos adjuntos en formato MS-Word son molestos, pero, peor que eso, impiden que la gente se pase al software libre. Quizás podamos detene...
Extensiones Anti-Phishing para todos los fans de Firefox
Para todos aquellos usuarios del Firefox, acá les ofrecemos un servicio que les evitará más de un dolor de cabeza. La página Security Hacks acaba de publicar un práctico listado de 10 extensiones para Firefox que te van a ayudar a evitar el Phis...
Pocas semanas para la propuesta del estándar IDMEF
Última oportunidad para hace comentarios y sugerencias a Intrusion Detection Message Exchange Format(IDMEF) Data Model and Extensible Markup Language (XML) Document Type Definition, la propuesta de estándar para intercambio de información entre ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acceso
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • facebook
  • falla
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permitiria
  • pgp
  • php
  • privada
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra