Se detectó una vulnerabilidad en Facebook que permitía acceder a videos, fotos y demás contenido privado de otros usuarios sin autorización. Este fallo en la seguridad de la compañia podría llevar a un nuevo escenario de pérdida de confianza en algunos usuarios, a pesar de las constantes modificaciones en las configuraciones de seguridad que han sido realizadas por la red social. La intrusión se podía realizar aprovechando una vulnerabilidad en la característica para denunciar una foto de perfil inapropiada.
Para explotar la vulnerabilidad, el usuario debía seleccionar la opción para reportar una foto de perfil. Desde el mismo lugar, se reportaban también más fotos que se consideraran ofensivas. Esa es la opción que permitía al usuario visualizar fotos, cuyo dueño no compartía publicamente.
Algún usuario aprovechó esta brecha para realizar el procedimiento sobre la cuenta de Mark Zuckerberg y publicó varias fotos personales del CEO de la compañía. Inmediatamente después de la publicación de las fotos, Facebook se pronunció al respecto:
Hoy descubrimos un bug en uno de nuestros servicios de reporte que permite a los usuarios reportar múltiples instancias en simultaneo de contenido inapropiado. El fallo, es resultado de uno de nuestros últimos cambios en el código y solamente estuvo en funcionamiento durante un periodo limitado de tiempo. Solo un pequeño número de fotos estuvo accesible y no todo el contenido. Al descubrir el bug desactivamos inmediatamente la funcionalidad. La misma, será nuevamente restablecida cuando confirmemos que el inconveniente ha sido solucionado.
Como podemos observar en el comunicado, mientras solucionan el problema, el servicio de reporte de fotos ofensivas fue desactivado. Con este hecho, Facebook vuelve a tener incidencias con la seguridad de sus usuarios. Esta vez, el afectado fue nada más y nada menos que el fundador de la compañía que tuvo fotos personales publicadas en la web.
Esperemos que este tipo de casos pueda contribuir a que la empresa dedique más tiempo a la revisión de su código antes de pasarlo a producción, ya que fallos como estos podrían comprometer nuevamente la seguridad de todos los usuarios.
Raphael Labaca Castro
Especialista en Awareness & Research