Defectuosa configuración de privacidad de Facebook expone números de teléfono de usuarios

El investigador de seguridad Suriya Prakash dice que ha identificado un fallo grave en el modo en que Facebook protege los números de teléfono de sus clientes. Privacidad.

El experto destaca el hecho de que en la sección “Contact Info”, los usuarios pueden introducir sus números de teléfono y asegurarse de que nadie pueda verlo a través de la opción “Only Me”. Sin embargo, existe otro ajuste de privacidad que expone números de teléfono.

En “How you connect” de los ajustes de privacidad hay una opción, “Who can look you up using the email address or phone number you provided.” El problema es que este parámetro está ajustado de forma predeterminada a “Everyone”.

Más preocupante aún es el hecho de que no es una opción que pueda restringirse completamente. Las variantes disponibles son sólo “Everyone”, “Friends” y “Friends of friends”.

El investigador se enteró de que esta falla podría ser aprovechada para recoger los nombres de usuario y números de teléfono de random members.

Inmediatamente informó a Facebook sobre esta cuestión, pero los representantes de la red social no parecen comprender plenamente los riesgos que representa la falla de privacidad.

Facebook informó a Suriya que el ataque podría ser mitigado con “rate limiting on finding users via any means” (limitación en la búsqueda de usuarios a través de cualquier medio), incluidos los números de teléfono, pero el experto afirma que el “rate limiting” podría fácilmente ser anulado a través de la utilización de la versión móvil.

Para demostrar sus hallazgos, el investigador ha desarrollado un ” macros script ” que lee y graba los nombres y números de teléfono de usuarios al azar. Sólo ha publicado alrededor de 800 record sets, pero afirma que un atacante con un botnet podría obtener los nombres de usuario y los números de todos los clientes afectados en sólo un par de días.

Según los cálculos de los expertos, alrededor de 500 millones de usuarios podrían estar expuestos a este tipo de ataque a causa de este ajuste predeterminado “Everyone”.

VÍA: SOFTPEDIA