logo

Un error de Facebook expone el correo electrónico y la fecha de cumpleaños de usuarios de Instagram

21 diciembre, 2020 | 2 comments |
Bug Facebook e Instagram

Un error de Facebook ha podido exponer datos privados de los usuarios de Instagram como fechas de cumpleaños y hasta dirección de correo electrónico, independientemente de si estaban o no configuradas como privadas.

Hoy día ninguna red social en el mundo es segura, y debes pensar dos veces qué fotografías o información compartir con las mismas porque con el paso del tiempo podrían ser accesibles para usuarios indeseados que puedan utilizar dicha información para realizar otro tipo de ataques contra ti.

Ahora el investigador de seguridad Saugat Pokharel descubrió un error en Facebook, que afectaba a Instagram, y que permitía a un atacante acceder a datos privados de los usuarios como su dirección de correo electrónico o incluso a su fecha de cumpleaños, independientemente de si las habíamos puesto privadas o no. El error, que ya está solventado, fue explotado por cuentas comerciales a las que se les dio acceso a una función experimental que la compañía estaba probando.

En concreto el ataque hizo uso de la herramienta Business Suite de Facebook disponible para cuentas de negocios o comerciales. De esta manera, si una cuenta comercial de Facebook estaba vinculada a Instagram y se incluía en el grupo de prueba, la herramienta Business Suite mostraría información adicional sobre una persona junto con cualquier mensaje directo, entre las que figurarían datos relativos a la fecha de cumpleaños y la dirección de correo electrónico, independientemente de si estaban configuradas como privadas o no.

Para obtener estos datos, lo único que tenían que hacer los usuarios de cuentas comerciales o de negocios de Facebook que participaban en las pruebas, era enviar un mensaje directo en Instagram para acceder a dicha información. El investigador aclara que este ataque ha funcionado en cuentas configuradas como privadas y también aquellas cuentas configuradas para no aceptar mensajes directos del público.

Según ha declarado un portavoz de Facebook al medio TheVerge, comentan que “el error únicamente fue accesible durante un corto periodo de tiempo” en un experimento iniciado en octubre. Facebook no ha desvelado a cuántos usuarios se les ha dado acceso a esta función pero aclara “que es una pequeña prueba” y que no han encontrado “evidencia de abuso” durante el proceso de investigación.

La declaración completa de Facebook es la siguiente: “Un investigador informó de un problema en el que, si alguien formaba parte de una pequeña prueba que realizamos en octubre para cuentas comerciales, se podría haber revelado información personal de la persona a la que estaban enviando mensajes. Este problema se resolvió rápidamente y no descubrimos ninguna evidencia de abuso. A través de nuestro programa Bug Bounty, recompensamos a este investigador por ayudarnos a informarnos sobre este problema”.

Los ingenieros de Facebook solucionaron el problema a las pocas horas de recibir la notificación del investigador.