Un error de Facebook detectado en Bug Bounty aún no se ha solucionado

Escrito por Adrián Crespo
Redes Sociales
0

El concurso de Facebook para recompensar el hallazgo de errores y en el que puede participar cualquier usuario siempre ha dado sus frutos y se han descubierto fallos de seguridad importantes. Sin embargo, se ha encontrado que el fallo de seguridad ganador del pasado año aún no se ha resuelto al completo, y hay un número no determinado de perfiles que siguen afectados por este.

Después de haber recibido 1.600 euros por el descubrimiento, Vivek Gansal no había vuelto a probar el script que había desarrollado para demostrar el problema hasta este mes de noviembre. Sin embargo, al realizar la prueba de nuevo con el código se ha llevado una grata sorpresa, comprobando que el fallo de seguridad aún no ha sido resuelto. Tras obtener este resultado, Bansal decidió informar de nuevo a la red social Facebook sobre este aspecto, no obteniendo ningún tipo de respuesta hasta hace escasos días.

Sin embargo, la respuesta dada por la red social no era la esperada por el investigador en temas de seguridad de aplicaciones, ya que argumentan que son conscientes que aún puede explotarse la vulnerabilidad en un número concreto de casos, pero que son los desarrolladores de aplicaciones lo que están desarrollando mecanismos que permitan compartir información con aplicaciones de terceros y que esta no se encuentre dentro de la información considerada como sensible (por ejemplo las credenciales).

Facebook fallo de seguridad bug bounty 2013

Los usuarios de Facebook aún utilizan aplicaciones que no utilizan este modelo

El experto en seguridad informa de la existencia de aplicaciones que aún no se han adaptado y que acceden a una gran cantidad de información sensible de la cuenta del usuario, instando a la red social a forzar a tomar medidas, ya que considera que es desde la propia red social donde deben proteger la privacidad de los datos de los usuarios y no dejarlo en las manos de los desarrolladores de aplicaciones, ya que habrá algunos que no tengan en cuenta estos aspectos a desarrollar.

De nuevo volvemos a hacer mención al vídeo que demuestra lo que puede suceder si esto no se controla de forma adecuada:

Fuente | Softpedia