La laguna jurídica de Facebook expone los números de teléfono privados, así es como se cierra

Shutterstock / BloomuaSecurity es un negocio difícil, ya que parece que cada día trae consigo un nuevo defecto o vulnerabilidad. El hallazgo de hoy es importante, ya que podría afectar a casi 1.500 millones de usuarios de Facebook.

Reza Moaiandin, director técnico de la Salt Agency, descubrió un defecto en Facebook que podría permitir a los hackers averiguar su número de teléfono, incluso cuando está configurado como privado. Así es como funciona y cómo protegerse.

Cómo funciona

El cuadro de búsqueda de Facebook te permite encontrar amigos potenciales en Facebook simplemente escribiendo su nombre, pero muchas personas no saben que también puedes introducir números de teléfono y recibir resultados. Si cree que si configura su número de teléfono como privado no se mostrará en los resultados de la búsqueda, piénselo de nuevo. Configurar tu número de teléfono como privado sólo impide que aparezca en tu perfil personal cuando los que no son amigos lo están viendo.

Si escribiéramos un guión y utilizáramos la API de Facebook, podríamos tener millones de números de teléfono en cuestión de minutos.

Facebook tiene una configuración adicional que permite a cualquiera buscarte en función de tu número de teléfono o tu dirección de correo electrónico, y está configurada como pública de forma predeterminada. Esto significa que cualquier persona (amigo o no) que introduzca su número de teléfono en el cuadro de búsqueda de Facebook obtendrá información como su nombre, ubicación y foto de perfil. Eso está bien si la persona realmente conoce su número, porque es más probable que sea un conocido, un amigo personal o un miembro de la familia.

El problema surge porque un hacker puede escribir un script simple con millones de números de teléfono siguiendo un patrón para un área determinada. A continuación, pueden utilizar la API de Facebook para realizar una búsqueda y obtener resultados en cuestión de minutos. Imagínese lo devastador que sería esto para las celebridades y los políticos, especialmente porque la mayoría de la gente está usando su número de teléfono móvil exclusivamente en estos días.

Para probar el hallazgo de Moaiandin, escribimos algunos números de teléfono de no amigos en el cuadro de búsqueda de Facebook, y bingo, el nombre de la persona, la ubicación y la foto de perfil aparecieron para cada número como si hubiéramos escrito su nombre. Por supuesto, este método sería súper lento ya que tendría que introducir cada uno de los posibles números de teléfono, pero prueba que el fallo existe. Si escribiéramos un guión y utilizáramos la API de Facebook, podríamos tener millones de números de teléfono junto con la persona a la que pertenecían en cuestión de minutos.

¿Qué puede hacer Facebook?

Moaiandin está aconsejando a Facebook que simplemente limite la cantidad de solicitudes por usuario y detecte patrones. Este sería un buen comienzo, pero en el mejor de los casos sería encriptar los datos.

Se puso en contacto por primera vez con Facebook en abril de 2015 con sus hallazgos, pero el primer ingeniero no entendió el problema. Después de esperar un poco, Moaiandin notificó de nuevo a la compañía el mes pasado, y un ingeniero respondió con: "Gracias por escribirnos. He investigado nuestra base de código y parece que implementa una reducción de la velocidad. Tenga en cuenta que los límites de la tarifa pueden ser superiores a la tarifa que está enviando a nuestros servidores, por lo que no parece que esté bloqueado. Esto es intencional. No lo consideramos una vulnerabilidad de seguridad, pero tenemos controles y mitigamos el abuso". En otras palabras, Facebook tiene algunos controles para evitar que los hackers reúnan listas masivas de números de teléfono, pero no son lo suficientemente estrictos.

Cómo defenderse en menos de un minuto

Buenas noticias! No tienes que esperar a que Facebook se despierte y solucione este problema.

H5BAAAAAAAAAAAAAAAAAAAAAIBRAA7

Nos pusimos en contacto con Reza Moaiandin y podemos confirmar que si sigues los pasos que se indican a continuación desde un escritorio o un smartphone, tu número de teléfono no será visible para los hackers que intentan usar un script, o para cualquier persona al azar que lo introduzca en el campo de búsqueda de Facebook. Instamos a todos a que lo hagan ahora, ya que se tarda menos de un minuto en hacerlo.

Desde un escritorio

  1. Abre Facebook en tu navegador, haz clic en el triángulo invertido en la parte superior derecha y selecciona Configuración.
  2. Seleccione Privacidad en el panel izquierdo.
  3. Buscar Quién puede buscarme en Configuración y herramientas de privacidad
  4. Seleccione ¿Quién puede buscarme usando el número de teléfono que me proporcionó?  y cambiarlo por Amigos de los amigos o sólo Amigos . Sólo Amigos sería la protección definitiva.
  5. También notará una opción para ¿Quién puede buscarme usando la dirección de correo electrónico que proporcionó?  También puede cambiar esto si lo desea, pero es mucho más difícil para un hacker crear un script de patrones de correo electrónico basado en sus complejidades.

Desde su smartphone

  1. En la aplicación de Facebook, puntee en el icono de hamburguesa (tres líneas) en la parte superior derecha y busque Configuración de la cuenta .
  2. Pulse sobre Privacidad .
  3. Buscar Quién puede buscarme en Cómo conectar .
  4. Seleccione ¿Quién puede buscarme usando el número de teléfono que me proporcionó?  y cambiarlo por Amigos de los amigos o sólo Amigos . Sólo Amigos sería la protección definitiva.
  5. También notará una opción para ¿Quién puede buscarme usando la dirección de correo electrónico que proporcionó? Puede cambiar esto si lo desea, pero es mucho más difícil para un hacker crear un script de patrones de correo electrónico basado en sus complejidades.

Actualizaremos esta entrada cuando Facebook reconozca el fallo y lo corrija posteriormente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Do NOT follow this link or you will be banned from the site!