Un error simple revela administradores de páginas de Facebook – Entérese cómo


Los administradores de la página de Facebook se muestran públicamente solo si los administradores han elegido mostrar sus perfiles.

Sin embargo, hay algunas situaciones en las que es posible que desee ponerse en contacto con un administrador de la página de Facebook o desea saber quién es el propietario de una página de Facebook.

El investigador de seguridad egipcio Mohamed A. Baset descubrió una vulnerabilidad de divulgación de información severa en Facebook que podría haber permitido a cualquiera exponer los perfiles de administrador de la página de Facebook, que de otra manera no debería ser información pública.

Baset afirmó haber descubierto la vulnerabilidad en menos de 3 minutos sin ningún tipo de prueba o prueba de conceptos, ni ningún otro tipo de procesos que consumen tiempo.

En una publicación de blog , Baset dijo que encontró la vulnerabilidad, que describió como un «error lógico», después de recibir una invitación para dar me gusta a una página de Facebook en particular en la que anteriormente le había gustado una publicación.

Facebook ha introducido una función para los administradores de página en la que pueden enviar invitaciones de Facebook a los usuarios preguntándoles si desean darle me gusta después de darle like a una publicación, y unos días después, estos usuarios que interactuaron pueden recibir un correo electrónico recordándoles la invitación.

Después de que Baset recibió una de esas invitaciones por correo electrónico, simplemente abrió la opción del menú desplegable «mostrar original» en el correo electrónico. Al observar el código fuente del correo electrónico, notó que incluía el nombre del administrador de la página, la identificación del administrador y otros detalles.

El investigador inmediatamente informó el problema al Equipo de seguridad de Facebook a través de su programa de recompensas Bugcrowd bug. La compañía reconoció el error y le otorgó a Baset $ 2,500 por sus hallazgos.

Aunque Facebook ahora ha corregido este problema de divulgación de información, las personas que ya han recibido una de esas invitaciones a la página aún pueden encontrar detalles de administración de los correos electrónicos de invitación.

«Pudimos verificar que, en algunas circunstancias, las invitaciones a páginas enviadas a personas que no sean amigos revelarían inadvertidamente el nombre del administrador de la página que las envió», dijo Facebook. «Hemos abordado la causa raíz aquí, y los correos electrónicos futuros no contendrán esa información».

Facebook ahora ha parcheado este problema de divulgación de información.

Vía |thehackernews

log in

reset password

Back to
log in