Ayer publiqué un post sobre un posible problema de seguridad con el sistea de mensajes de Facebook. Hoy en los foros para desarrolladores el equipo de moderadores (son empleados de Facebook) ha reconocido la existencia de ese mensaje, aunque no han hecho mención a que se tratase de un problema de seguridad (normal).

El equipo de Facebook ha lanzado un script nocturno que ha limpiado ese mensaje de los buzones de todos los usuarios-desarroladores de aplicaciones para Facebook que lo habían recibido.

Pero claro, ese script no ha podido borrar la copia que recibes en tu email de los mensajes del buzón de Facebook, de tal manera que muchos usuarios que no sabían de este extraño mensaje han recibido por email la notificación de que tenían un mensaje nuevo en su buzón de Facebook. Cuando han hecho click sobre el enlace para abrir el mensaje Facebook no les muestra ningún mensaje.

Así que para tapar un problema han creado otro, ahora hay usuarios-desarrolladores que creen que Facebook falla y les ha borrado un mensaje por error. Así que de nuevo hay un grupo quejándose de este tema

Si sois desarrolladores de Facebook podéis seguir el hilo del problema del mensaje fantasma en este enlace que lleva al foro oficial de Facebook.

La alarma ha saltado en los foros de los desarrolladores. Todos (o una gran parte) los miembros del grupo Developers de Facebook hemos recibido un mensaje privado con el siguiente contenido:

Parece ser que alguien ha conseguido violar la seguridad del sistema de mensajería de Facebook, esperemos que sea buen chic@ y les indique a los ingenieros de Facebook donde está el agujero de seguridad o bien que estos se pongan las pilas y lo tapen rápido.

En temas de seguridad normalmente las empresas de Internet (Google, Yahoo, etc.) suelen ser completamente opacas, así que es posible que ni siquiera lleguen a reconocer que este agujero ha existido.

Uno de los agujeros de privacidad más grandes que tiene Facebook está situado en torno a las fotos de los amigos de los amigos.

En Facebook un usuario introduce una foto en un album que en principio solo va a ser visto por las personas que están admitidas a su perfil. El usuario (llamémosle Alberto) introduce la foto con la privacidad por defecto que trae Facebook, es decir, que todo el mundo mundial puede ver la foto. Pero a él no se le plantea ningún temor ya que como sus álbumes sólo se ven en su perfil privado, pues no hay nada que temer. Y que porras, ¿él que sabe de informática?, le da a siguiente, siguiente y ya está.

El problema viene cuando un amigo suyo (llamémosle Bernardo) comenta una de las fotos del album de su amigo Alberto. Al comentar esa foto Bernardo le está dando acceso a todos sus amigos a todas las fotos de ese album privado de Alberto. Generalmente algún amigo de Bernardo (llamémosle Carlos)  seguro que conoce a Alberto y se lleva mal con él. Pues Carlos va a poder cotillear todas las fotos de ese album de Alberto que el pensaba que eran privadas. Y cotillear significa que puede copiarlas, imprimirlas, enviarlas por email o lo que le de la gana.

Y lo peor del asunto es que el mismo Facebook avisa a Carlos en su página inicial de que su amigo Bernardo ha comentado una foto de Alberto dándole acceso, de tal manera que Carlos está siendo inicitado por Facebook al cotilleo de las fotos de Alberto.

La solución a este problema ahora mismo es poner la privacidad de cada foto que subimos como que sólo pueda ser vista por amigos, pero nos toca hacerlo foto a foto

En fin, muy criticable y muy mejorable este tema.

El phising es una técnica que consiste en engañar a un usuario de internet para que revele datos importantes como nº de tarjeta de crédito, passwords, etc.

Bueno, pues ayer se inicio un ataque masivo y bien organizado de phising mediante el envío de emails que simulaban ser de un amigo de Facebook. El email inicitaba a visitar una página hospedada en el servidor Fbaction.net, servidor controlado por hackers que no tiene nada que ver con Facebook.

Allí mediante una pantalla de login clónica de la de Facebook te solicitaba que introdujeses tu usuario y tu password. Afortunadamente desde Facebook ya se han tomado medidas y se ha denunciado a los criminales que han preparado este ataque, por otro lado han añadido este sitio web a su lista negra para que no sea posible ningún tipo de interacción con las bases de datos de Facebook.

Los hackers que han realizado este ataque no tienen por qué estar sólo interesados en hacerse con el control de tu usuario de Facebook, muchas veces los usuarios utilizamos el mismo usuario y la misma clave para todo, por no hablar de vender los datos privados a empresas de spam.

El mejor consejo que os puedo dar es que estéis siempre vigilantes y desconfiéis de cualquier mensaje no solicitado que os lleve a algún servidor extraño u os solicite vuestro login y vuestro password.

Fuente: pcworld.com

El blog Desvaríos informáticos afirma haber encontrado un agujero de seguridad en Facebook para mediante un ataque XSS a través de una aplicación Facebook de terceros poder hacerse con el control del perfil de otros usuarios.

No es un ataque sencillo de desarrollar por programadores novatos y requiere bastante intervención por parte del usuario víctima, pero pone de relieve que el hecho de haber creado una plataforma tan abierta como es ahora mismo Facebook deja abiertos huecos, pocos, pero los hay.

Jose Carlos Norte nos cuenta en su post que ha notificado al equipo de Facebook el agujero de seguridad, esperemos que pronto esté subsanado

Os pongo aquí el enlace al post sobre el agujero de seguridad de Facebook ya que me ha parecido muy interesante.