RSS 
Desconozco si alguien presto atención a este pequeño detalle antes que yo, al ser tan simple supongo que si pero no he visto nada al respecto; quien tenga un link a mano y desee compartirlo puede hacerlo en los comentarios!
Este es un fallo simple pero que a la vez nos hace preguntar hasta que punto nuestra privacidad esta a resguardo.
Supongamos que tenemos un perfil X, en este caso elegi a una chica al azar que llamaremos Julieta. Julieta esta agregada en la lista de contactos de nuestra cuenta y a grandes rasgos tenemos acceso a casi todos los componentes de Facebook (Muros, Notas, etc). No obstante, la dirección de mail ya sea la principal u cualquier otro tipo de información de contacto, permanecen ocultas.
 |
| Julieta Gisele. Sin información de contacto |
Es irrelevante en este caso cual es el criterio con el cual se oculto la información de contacto (Personas especificas, solo amigos, etc) ya que eso no nos importa demasiado puesto que para recordar la contraseña obviamente no hace falta iniciar ninguna sesión.
Teniendo el perfil, vamos a recordar la contraseña tocando en ¿Has olvidado tu contraseña?:
 |
| Recordar contraseña |
Ahora bien, para identificar el perfil se puede cualquiera de las 3 opciones. La primer opción por supuesto no tiene sentido ya que parte de que ya conocemos la dirección de mail de antemano. La tercera implica que conozcamos como mínimo un contacto de la lista de la persona involucrada, lo cual no siempre es factible ya que dicha lista puede estar oculta. La segunda opción es la mas simple, puesto que el link del perfil puede obtenerse facilmente.
Al encontrarse el usuario, nos encontramos con un captcha, y luego de este, otro pedido de confirmación en caso que todavía deseemos recordar la contraseña.
Es un hecho conocido que casi la totalidad de los servicios como mínimo utilizan una dirección de mail para restablecer una contraseña, Facebook obviamente no es la excepción. Por supuesto por cuestiones de privacidad oculta la dirección:
 |
| Dirección oculta. ¿Oculta? |
No precisamente oculta, si revisan el código fuente de esa misma pagina, encontraran la dirección completa:
"contactInfo":{"email":["Aquí el mail."]}.
¿Cual es el problema con este pequeño fallo?
Básicamente son tres:
1) Permite a un atacante obtener una dirección que en principio podría estar oculta intencionalmente. En este caso, la dueña del perfil del ejemplo tenia su dirección oculta incluso para los contactos de su lista, sin embargo puede obtenerse fácilmente sin siquiera iniciar una sesión. Si se salta el captcha incluso se puede automatizar la tarea para obtener direcciones en forma masiva.
2) La dirección de mail puede no estar activa, y en ese caso alguien podría registrar nuevamente dicha dirección y modificar la contraseña del perfil de Facebook de la victima.
3) Permite a un atacante saber fácilmente cual es el mail ligado a la cuenta de Facebook y las consecuencias que esto conlleva.
-----------
Este error no involucra solamente a la dirección con la cual se registro la cuenta de Facebook, si no con todas las direcciones de correo asociadas a la cuenta, e incluso también el numero de movil.
En conclusión, cuidado con los datos que asocian con su cuenta de Facebook ya que no están para nada protegidos.
Saludos!
Update
Al día de la fecha -08/02/2011- el fallo se encuentra solucionado.
pfff es decir el mail ligado a la cuenta de Facebook es visible por mas configuración que se tenga. Espero que lo arreglen pronto :S
ResponderSuprimirfailbook
ResponderSuprimirPobre los famosos que tienen facebook :S
ResponderSuprimirEfectivamente. Que sea tan fácil acceder a detalles como números de móvil y cuentas de mail personales de seguro va a traerle mas de un problema a los famosos con Facebook, pero por supuesto no van a ser los únicos afectados.
ResponderSuprimirOjala lo solucionen, pero realmente dudo mucho que lo hagan a corto plazo. Tardaron una década en solucionar el fallo que con una query podías revisar albums privados sin siquiera tener a la cuenta en tu lista de contactos; con esto tardaran mucho mas.
Saludos
Ya lo solucionaron
ResponderSuprimiresto no es nuevo para obtener los mail, no se si sera para face pero para hot se podía, tmb depende del navegador que usas. pasate por www.grayhat.com.ar
ResponderSuprimirClaro, en hotmail esto también funcionaba. De hecho probe este método en Facebook sacando la idea de lo que se había hecho en su momento con Hotmail.
ResponderSuprimirNo obstante, la cantidad de información en el caso de Facebook era mucha. Todas las direcciones de mail mas teléfonos de contacto y demás.
Hice un pequeño script en Python como método de prueba que no lo publique por el hecho que había sacado 10.000 datos de contacto en cuestión de minutos y si no saque mas fue porque lo detuve ya que la prueba estaba clara.
Por suerte ahora el fallo esta arreglado. Este tipo de problemas parecen inofensivos pero no lo son.
Saludos