Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2017
Les noves enquestes de Facebook contenien una fallada de seguretat
Facebook va llançar el nou format d’enquestes en què hi ha la possibilitat d’inserir GIFs animats a manera d’opcions. Aquesta nova funcionalitat va incorporar una fallada en què es permetia eliminar o usar qualsevol altra imatge publicada en la plataforma, inclús si aquesta no era pública.
L’investigador de seguretat Pouya Darabi descobert ha una vulnerabilitat des de qual, a través d’aquesta funció era possible tant d’usar com esborrar qualsevol altra imatge publicada en la plataforma, encara que aquesta no estiguera compartida de forma pública, simplement usant el seu ID, tenint-se en compte que cada imatge compta amb una ID única. Respecte d’això, un usuari malintencionat podria usar imatges d’altres en les seues enquestes, i inclús a l’hora d’esborrar-les, esborrar les imatges que han sigut associades.
El propi investigador ha relatat l’existència d’aquesta vulnerabilitat en el seu propi blog, havent rebut per aquesta troballa uns 10.000 dòlars a manera de recompensa per part de la mateixa Facebook, que ha procedit a corregir aquest error d'immediat després de conèixer-ne l'existència.
La història ha sigut confirmada per la mateixa Facebook a la publicació Motherboard.
No es tracta ni de la primera vegada, i segur que ni l’última, que una novetat porte oculta una vulnerabilitat potencial, tant en Facebook com per a qualsevol altra companyia tecnològica, on gràcies als investigadors de seguretat, les vulnerabilitats no arriben a més.