Mil 500 aplicaciones, de 876 desarrolladores diferentes, accedieran a fotos que los usuarios almacenaban en su bandeja de borradores
Facebook acaba de revelar una nueva vulnerabilidad en su plataforma, misma que permitió que aplicaciones desarrolladas por terceros accedieran a fotos sin publicar de alrededor de 6.8 millones de usuarios, informan expertos en forense digital del Instituto Internacional de Seguridad Cibernética.
Si un usuario sube una foto a su perfil de Facebook sin terminar el proceso de publicación en el perfil, el archivo se guarda como borrador en la base de datos de la red social. Este error concedió a múltiples aplicaciones de terceros a la base de datos de los borradores.
La empresa afirma que descubrió la falla en una interfaz de programa de aplicación de fotos (API) que persistió en la plataforma durante casi dos semanas, entre el 13 y el 25 de septiembre. “La falla de seguridad ya ha sido corregida. Algunas aplicaciones de terceros accedieron a un conjunto de fotos más allá de los permisos concedidos”, mencionó Facebook en su comunicado.
De forma predeterminada, Facebook sólo otorga a las aplicaciones de terceros permiso de acceso a las fotos publicadas en el timeline del usuario. Sin embargo, acorde a expertos en forense digital este error podría haber provocado que algunos desarrolladores accedieran a algunas otras publicaciones, como las realizadas en la sección Marketplace o en las historias de Facebook. “El error también afectó las fotos que las personas subieron a Facebook, pero al final no fueron publicadas”, menciona Tomer Bar, director de ingeniería de la red social.
Según las estimaciones de Facebook, alrededor de 6.8 millones de usuarios habrían sido afectados; la compañía se encuentra en proceso de notificar a los usuarios posiblemente afectados.
“Durante los próximos días comenzaremos con la implementación de una serie de herramientas para los desarrolladores externos, lo que les permitirá determinar qué usuarios podrían haber sido afectados por este error”, mencionó Facebook. “Trabajaremos de manera conjunta con los desarrolladores para eliminar estos archivos comprometidos”.
Este año ha estado plagado de errores y acusaciones en contra de Facebook. En mayo pasado, expertos en forense digital revelaron un error en el software que cambió la configuración de privacidad de las publicaciones de millones de usuarios, dejando cualquier post disponible para el público en general.
Posteriormente, la red social declaró que fue víctima de un grupo de hackers que explotaron una falla en la función “Ver como”, con lo que alrededor de 50 millones de tokens de acceso fueron expuestos. Por si fuera poco, se comprobó la responsabilidad de Facebook en el escándalo de la consultora Cambridge Analytica, donde la información de millones de usuarios de Facebook fue filtrada con fines electorales.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad