Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/02/2019
Un fallo en Facebook deja ver las fotos privadas de otros usuarios
Un fallo de seguridad en facebook ha permitido a un investigador reportar recientemente la vulnerabilidad que permitía visualizar fotos privadas de otros usuarios.
La vulnerabilidad ha sido reportada por un investigador el cual descubrió la vulnerabilidad en portal.facebook.com, el cual esta diseñado para realizar videollamadas.
El fallo se descubrió en la web del portal en el cual a través de una ventana de soporte se pueden realizar consultas a un BOT donde se puede incluir imágenes, videos y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad.
El fallo se encontraba en que al subir un fichero,video o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook. Después de subir la foto, se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chat. Si se sustituye en dicho mensaje el identificador de la foto por el identificador de cualquier otra foto, al enviar el mensaje y visualizarlo veremos automáticamente la foto correspondiente al identificador modificado.
Aunque este fallo esta muy limitado debido a que el atacante tendria que saber el identificador de la foto, Facebook ya ha arreglado este problema para evitar que usuario malicioso pudiera realizar un ataque de fuerza bruta y obtener el identificador de las fotos privadas de otros usuarios.