¿Cómo explotar nueva función de Facebook para acceder a fotos personales de gente sin ser su amigo?

Share this…

Facebook está cambiando siempre y su equipo está agregando nuevas funcionalidades cada par de meses. Con las nuevas funcionalidades y cambios hay posibilidades de que esos cambios afecten la seguridad e introducen vulnerabilidades explica un experto de empresa de seguridad informática. Este mes Facebook hizo una importante actualización en función de búsqueda y con esta herramienta ahora la gente puede explotar las fotos y posts de sus amigos e incluso personas que no son sus amigos.

Recientemente un investigador de seguridad llamado Atul reporto un exploit de nueva funcionalidad de búsqueda de Facebook y publico lo mismo en su blog. Además el investigador de seguridad se ha informado al equipo de Facebook sobre esa vulnerabilidad. Aunque la vulnerabilidad parece básica sin embargo, es muy eficaz en hacer verificación de antecedentes, fotos de personas que no son sus amigos en Facebook.

 

Facebook bug-raised
Facebook bug-raised

 

Puede explotar fácilmente esta vulnerabilidad para obtener acceso a las fotos de las personas que no son sus amigos en Facebook. Esto puede ser interesante para la gente que quiere ver las fotos personales de sus ex novios o ex novias o personas que ya no son sus amigos en Facebook.

Los siguientes pasos fueron tomados del blog investigador de seguridad y se puede intentar estos pasos con perfiles de ex novias o ex novios que ya no son sus amigos en Facebook.

Sinopsis: Accede a las fotos privadas de cualquier objetivo/blanco individual/perfil, incluso si él/ella no es su amigo.

Navegador utilizado: Chrome, Mozilla

Pasos para explotar:

1. Buscar un perfil en Facebook, que es su blanco y no está en tu lista de amigos. También sin ningún amigos, grupos en común.

2. Ahora para demostrar este problema, yo tomé el perfil del individuo al azar. Imagina un escenario que conozco a una chica pero ella no es mi amiga en Facebook

3. Ella no está en mi lista de amigos ni tenemos nada en común.

4. Para ver las fotos públicas de perfil de mi blanco, busqué su nombre en el Facebook y por suerte tuve la oportunidad de encontrar su perfil en Facebook.

 

Target-Profile-Summary
Target-Profile-Summary

 

5. Ahora fui a ver sobre su perfil y encontré muy poca información.

 

Target-profile-details
Target-profile-details

 

6.Ahora fui a ver sus fotos públicas y encontré muy pocas fotos.

 

Target-profile-details
Target-profile-details
Target-profile-details
Target-profile-details
Target-profile-details
Target-profile-details

 

Explotar la vulnerabilidad(o puede decir funcionalidad de Facebook)

7. Ahora bien, para conseguir más fotos del blanco busca “Fotos del perfil del blanco” en el panel de búsqueda de Facebook como se muestra en la imagen de abajo.

 

Photos of xxxxx

exploiting the bug
exploiting the bug

 

8. Tuve la oportunidad de acceder a la gran cantidad de fotos del blanco/objetivo, que no eran visibles antes. Así puede explotar más personas usando esa funcionalidad.

 

Exploit the bug
Exploit the bug
Exploit the bug
Exploit the bug

 

9. He probado el mismo escenario con otros individuos desconocidos (que no son de mi lista de amigos), algunas personas muy importantes, empleados incluso de Facebook y pude acceder a sus fotos que no eran visibles directamente. Esto funciona incluso si nuestro blanco ha puesto en marcha la configuración de seguridad de privacidad de Facebook.

Sin embargo, usando este método, pudé ver muchas fotos públicas del perfil que no son visibles mediante la búsqueda sólo de nombre de blanco.

10. Si el usuario no ha permitido el etiquetado en las fotos, el usuario podría estar seguro.

Los pasos anteriores se tomaron desde el blog de investigador de seguridad y se puede intentar los pasos con sus ex novias o ex novios o personas que ya no son sus amigos en Facebook. También asegúrese de usar búsqueda sugerente de Facebook de lo contrario esto no podría funcionar. También de acuerdo con el investigador de seguridad este resultado puede variar dependido de navegador, sistema operativo y versión de la aplicación móvil. Así que trate esto en diferentes navegadores, sistemas operativos, los perfiles y las aplicaciones móviles ya que podría obtener acceso a diferentes y muchas más fotos.