Un error de Facebook ha podido exponer datos privados de los usuarios de Instagram como fechas de cumpleaños y hasta dirección de correo electrónico, independientemente de si estaban o no configuradas como privadas.
Hoy en día ninguna red social en el mundo es segura, y debes pensar dos veces qué fotografías o información compartir con las mismas porque con el paso del tiempo podrían ser accesibles para usuarios indeseados que puedan utilizar dicha información para realizar otro tipo de ataques en contra tuya.
El investigador de seguridad Saugat Pokharel descubrió un error en Facebook, que afectaba a Instagram, y que permitía a un atacante acceder a datos privados de los usuarios como su dirección de correo electrónico o incluso a su fecha de cumpleaños, independientemente de si las habíamos puesto privadas o no. El error, que ya está solventado, fue explotado por cuentas comerciales a las que se les dio acceso a una función experimental que la compañía estaba probando.
En concreto el ataque hizo uso de la herramienta Business Suite de Facebook disponible para cuentas de negocios o comerciales. De esta manera, si una cuenta comercial de Facebook estaba vinculada a Instagram y se incluía en el grupo de prueba, la herramienta Business Suite mostraría información adicional sobre una persona junto con cualquier mensaje directo, entre las que figurarían datos relativos a la fecha de cumpleaños y la dirección de correo electrónico, independientemente de si estaban configuradas como privadas o no.
Para obtener estos datos, lo único que tenían que hacer los usuarios de cuentas comerciales o de negocios de Facebook que participaban en las pruebas, era enviar un mensaje directo en Instagram para acceder a dicha información. El investigador aclara que este ataque ha funcionado en cuentas configuradas como privadas y también aquellas cuentas configuradas para no aceptar mensajes directos del público.
los ingenieros de Facebook ante este error reportado por el investigador, solucionaron el problemas en pocas, declarando al medio Theverge: “Un investigador informó de un problema en el que, si alguien formaba parte de una pequeña prueba que realizamos en octubre para cuentas comerciales, se podría haber revelado información personal de la persona a la que estaban enviando mensajes. Este problema se resolvió rápidamente y no descubrimos ninguna evidencia de abuso. A través de nuestro programa Bug Bounty, recompensamos a este investigador por ayudarnos a informarnos sobre este problema”.
