Cuando te registras en una red social, esperas que cumpla sus promesas de privacidad. Por ejemplo, si le dice a la red social que no revele su dirección de correo electrónico a ningún otro miembro, espera que siga siendo privada.

Pero un investigador de seguridad ha detallado cómo encontró una manera de averiguar * cualquier * La dirección de correo electrónico principal del usuario de Facebook, independientemente de su configuración de privacidad, al explotar una debilidad en la red social.

El investigador de seguridad Stephen Sclafani describió cómo tropezó con el agujero de privacidad mientras deambulaba por algunas listas de correo antiguas.

Uno de los mensajes que encontró contenía un correo electrónico recordatorio de invitación de Facebook, aparentemente enviado por accidente cuando el usuario cometió el error de seguir los consejos de Facebook de invitar a toda su lista de contactos a la red social:

Lo interesante es la URL en la que se puede hacer clic en la parte inferior del mensaje de invitación.

Cuando Sclafani hizo clic en el enlace, fue llevado a una página de registro de Facebook que ya estaba llena con la dirección de la lista de correo y el nombre de la persona ho usó el vínculo para registrarse para obtener una cuenta:

Sclafani echó un vistazo más de cerca al vínculo y descubrió algo interesante :

El enlace contenía dos parámetros: «re» y «mid»:

Cambiar el parámetro re no hizo nada; sin embargo, cambiar partes del parámetro mid resultó en que se mostraran otras direcciones. Mirando más de cerca el parámetro, su valor era en realidad una cadena de valores con «G» actuando como un delimitador:

59b63a G 5af3107aba69 G 0 G 46

Solo el segundo valor fue importante. El valor era un ID asociado con la dirección a la que se envió la invitación en hexadecimal. El ID numérico de un usuario de Facebook se podría poner como este valor y se mostraría su dirección de correo electrónico principal. El ID numérico de un usuario se considera información pública y puede obtener de la fuente de su perfil o mediante la API Graph.

En otras palabras, si reemplaza esa parte del parámetro «mid» con el valor hexadecimal del ID de perfil numérico de un usuario de Facebook diferente, se le mostrará su dirección de correo electrónico principal.

Los ID de perfil de Facebook no son secretos. Puede obtenerlos fácilmente a través de sitios como Buscar mi ID de Facebook o del directorio de perfiles de Facebook.

De hecho, es posible Imagínese cómo alguien interesado en obtener la dirección de correo electrónico de * cada * * único * usuario de Facebook podría escribir un script para rastrear el directorio del perfil, convertir cada ID en hexadecimal y luego usar la URL modificada para finalmente obtener cada dirección.

Es fácil imaginar cómo se puede abusar de una base de datos de tales direcciones de correo electrónico.

Afortunadamente, Stephen Sclafani tiene cierta ética. Y en lugar de tratar de causar un gran revuelo publicando detalles de la vergonzosa falla de Facebook, eligió revelarlo responsablemente a la red social. Sclafani dice que Facebook corrigió la falla en 24 horas y lo recompensó con $ 3,500 por sus esfuerzos bajo su programa Bug Bounty.

Facebook ciertamente parece estar agradecido de que actuó de la manera que lo hizo, diciéndome:

«Agradecemos el esfuerzo del investigador de seguridad para informar este problema a nuestro Programa White Hat. Trabajamos con el investigador para evaluar el alcance del problema y solucionarlo error rápidamente. No tenemos evidencia de que haya sido explotado de manera maliciosa «.

» Hemos proporcionado una recompensa al investigador para agradecerle su contribución a la seguridad de Facebook «.

Enhorabuena a Sclafani por encontrar el defecto y actuar responsablemente. Y, aunque hubiera sido mejor si la laguna de privacidad no hubiera existido en primer lugar, enhorabuena a Facebook por solucionarlo tan rápido después de haber sido informado.

Si estás pensando en dejar Facebook , ¿por qué no escuchar este podcast «Smashing Security» que grabamos:

¿Te pareció interesante este artículo? Sigue a Graham Cluley en Twitter para leer más sobre el contenido exclusivo que publicamos.