Error en Facebook permite extraer nombre y apellido de los usuarios

Escrito el 11 agosto 2010, 05:57pm en Privacidad

Tagged with: ,

Hoy en día la privacidad se ha vuelto un tema de moda, ¿lo hizo realmente?, yo creo que no, simplemente es que directa (nosotros) o indirectamente (nuestros amigos) estamos generando y compartiendo muchas más información que años atrás, por lo que cualquier cosa fuera de lugar ya causa un poco de revuelo. Como ha venido sucediendo últimamente con los cambios en los términos y condiciones de las redes sociales más populares. Por lo que la privacidad hoy en día no es un tema de moda, sino que hay mayor cantidad de contenidos por los que preocuparse, y de ahí que se haya convertido en un tema recurrente.

En el día de hoy, Atul Agarwal de Secfence Technologies, hacía público un error en Facebook que nos permite saber el nombre y apellido de una persona con solo conocer tu dirección de correo y sin necesidad de poseer una cuenta en dicha red social.

El truco es simple, solo hay que intentar conectarse a Facebook colocando como datos de acceso el email de la persona que queremos saber sus datos y como clave lo que se nos ocurra ya que no nos interesa ingresar, sino obtener su nombre y apellido.

Al intentar conectarnos con datos incorrectos, Facebook nos muestra un mensaje de error y si el email pertenece a uno de sus usuarios, solo nos informa y vuelve a solicitar la clave ya que asume que la dirección de correo era la correcta; el detalle aquí es que también nos mostrara el nombre, apellido e imagen/avatar del usuario al cual pertenece ese email.

¿De qué me sirve esto?

Uno de los posibles usos que podría darle un usuario malicioso es el de obtener el nombre y apellido (y foto en algunos casos) a partir de una base de datos de emails, y siendo que la gran mayoría de los usuarios de esta red social coloca sus datos reales, también podría usarse para validar/comprobar este tipo de información.

También podría utilizarse para comprobar la existencia de esos correos, uno podría generar emails del estilo nombre@empresa.com y verificar la existencia en Facebook.

Mas información:

Facebook name extraction based on email/wrong password + POC
http://seclists.org/fulldisclosure/2010/Aug/130

Actualización 12/08/2010: Al parecer el error ya fue solucionado.

Comentarios (2)

  1. Toni Allende — septiembre 10, 2010 a las 3:06 pm

    Mnnn pero eso pasaba desde hace mucho, es mas, si pones en el buscador el email de alguna persona, automaticamente te tira el nombre apellido y foto de perfil, lo use muchisimas veces, para ver quienes comentan en mi blog… je…

  2. Martín Aberastegue — septiembre 11, 2010 a las 12:58 am

    Toni: claro, pero esto lo podías hacer sin tener que loguearte en Facebook, sin limitaciones ;). Aunque ahora ya fue solucionado como puse en el post.

Los comentarios están cerrados para este artículo.