Qué te gusta y quiénes son tus amigos: la información revelada por un nuevo fallo de Facebook

El error de seguridad llevó a que cualquier página web pudiera extraer la información de perfil de los usuarios de la red social. Esto fue posible porque la red social no está protegida contra los ataques denominados Cross Site Request Frogery (CSRF), que explotado por un ciberdelincuente consigue que un usuario ejecute una acción, de forma no intencionada, cuando está en una aplicación.

Es decir, que los usuarios de Facebook, sin que ellos lo supieran, hacían clic en enlaces que aparentaban ser inofensivos. Sin embargo, la acción permitía al atacante acceder a su información personal. Masas demostró que un sitio web puede incrustar un iframe (elemento HTML que permite insertar o incrustar un documento HTML dentro de otro) y recopilar de forma silenciosa la información de los perfiles.

Y añadió que la vulnerabilidad “expuso los intereses del usuario y sus amigos”, a pesar de que tenga activada la privacidad de la información personal en la red social. Este error de seguridad es peligroso “para los usuarios móviles ya que la pestaña abierta puede perderse fácilmente en segundo plano, lo que permite al atacante extraer los resultados para múltiples consultas, mientras el usuario está viendo un video o leyendo un artículo en el sitio del atacante”, concluyó Masas.

El acceso a este tipo de información personal es muy valiosa para determinadas empresas. Según TechCrunch, Facebook pagó al equipo de Imperva 8.000 dólares de recompensa y agregó protecciones contra los ataques CSRF para solucionar el error de seguridad.