Una vulnerabilidad en Foursquare expone 45 millones de correos
Foursquare es una red social muy utilizada por los usuarios, especialmente de smartphones, que permite registrar todos los lugares de interés que se visitan y compartirlos con los amigos, conocidos o contactos de la red social. Esta red social, con más de 45 millones de usuarios en todo el mundo, dispone de una vulnerabilidad que permite a un atacante obtener una base de datos completa de las direcciones de correo de todos los usuarios registrados en esta página web.
Según el hacker «Jamal Eddine«, un pirata informático podría extraer la base de datos de Foursquare y obtener una lista con más de 45 millones de usuarios de la red social simplemente con unas pocas líneas de código scripting.
La vulnerabilidad en cuestión está presente en el sistema de invitaciones de esta red social. Cuando un usuario envía una invitación a otra persona, se muestra un ID que identifica al usuario y, con ello, su dirección de correo electrónico. Un ejemplo de la URL correspondiente a una invitación se puede ver a continuación:
https://foursquare.com/mehdi?action=acceptFriendship&expires=1378920415&src=wtbfe&uid=64761059&sig=mmlx96RwGrQ2fJAg4OWZhAWnDvc%3D
Como podemos ver, la URL anterior dispone de un UID con el número identificador del usuario de Foursquare. Si un pirata informático hubiera creado un script que recorriera todos los UID anteriores y registrara la dirección de correo electrónico correspondiente a cada uno podría haber conseguido en varias horas una base de datos de 45 millones de direcciones de correo electrónico activas de todos los usuarios de la red social.
Una vulnerabilidad similar ha estado presente en Facebook hace 6 meses que también expuso las direcciones de correo de sus usuarios y que, al igual que en Foursquare, fue rápidamente solucionada.
El hacker anterior ya reportó la vulnerabilidad al departamento de seguridad de la red social y esta ya ha sido solucionada, por lo que las direcciones de correo electrónico aparentemente no han sido explotadas por esta grave vulnerabilidad.
Fuente: The Hacker News