Facebook vuelve a aparecer en los medios en un caso que involucra la privacidad de sus usuarios. La firma de seguridad Imperva ha publicado detalles sobre una vulnerabilidad en la red social que puede haber dejado expuestos los datos de los usuarios. A través del error, los sitios web podrían obtener información privada sobre los usuarios de Facebook y sus amigos a través del acceso no autorizado a una API de la empresa, utilizando un comportamiento específico en el navegador Google Chrome. El error se informó a Facebook y se resolvió en mayo.
El ataque en cuestión es una falsificación de solicitud entre sitios a través de un inicio de sesión legítimo de Facebook de manera no autorizada. Para que el ataque funcionara, un usuario necesitaba visitar un sitio web malicioso con Chrome y luego hacer clic en cualquier parte del sitio web mientras estaba conectado a Facebook. Solo entonces los atacantes podrán abrir una nueva ventana emergente o pestaña en la página de búsqueda de Facebook y podrán ejecutar una serie de consultas para extraer información personal.
Imperva cita verificar si un usuario ha tomado fotos en un determinado lugar o país, si el usuario ha escrito publicaciones recientes que tienen un texto específico o si a los amigos de un usuario les gusta la página de Facebook de una determinada empresa. La vulnerabilidad expuso los intereses de sus usuarios y amigos, incluso si se cambiaron las configuraciones de privacidad.
Según Facebook a The Verge, la vulnerabilidad subyacente también podría afectar a otros sitios web. "Agradecemos el informe de este investigador a nuestro programa de recompensas por errores", dijo un representante a The Verge. "Solucionamos el problema en nuestra página de búsqueda y no vimos ningún abuso. Como el comportamiento subyacente no es específico de Facebook, hemos hecho recomendaciones a los creadores de navegadores y a los grupos de estándares web relevantes para alentarlos a tomar medidas para prevenir este tipo de problema. ocurre en otras aplicaciones web".
Fuente: The Verge
