Detectan un bug en Facebook que permite el borrado de los álbumes de las páginas
Los fallos de seguridad en la madre de las redes sociales han dejado de ser una tónica y durante varias semanas se ha mantenido alejada de las portadas de las páginas de actualidad. Sin embargo, Facebook ha sido de nuevo noticia por un fallo de seguridad que habría permitido el borrado de los álbumes de fotos de las páginas de la red social.
Laxman Muthiyah es de nuevo noticia y por tercera vez en lo que llevamos de año, ya que él ha sido el encargado de advertir a los propietarios de la red social sobre la existencia de este fallo de seguridad. LA vulnerabilidad está relacionado de forma directa con otra que afectaba a las versiones disponibles para sistemas operativos móviles iOS y Android. Esta permitía que de forma autónoma la aplicación tomase la decisión de subir a la red social las fotografías del terminal, algo que no era visible ni para el usuario ni para los seguidores de su cuenta.
A pesar de no existir visibilidad de este contenido, este fallo anómalo desemboca en una vulnerabilidad que podría permitir que ciberdelincuentes accediesen a dicho contenido y dispusiesen de potestad para realizar el borrado de los álbumes existentes en dicha página.
Y es que la vulnerabilidad detectada en esta ocasión en Facebook afecta solo a las páginas, quedando excluidos los perfiles de usuario.
Facebook permitía la escalada de privilegios sobre el contenido de la página
Los que hacéis o habéis hecho uso de una página de la red social conocéis cuál es el funcionamiento de los permisos y que se pueden asignar a varias personas diferentes roles, algo aplicable a las aplicaciones que hacen uso de la misma. Sin embargo, en el siguiente vídeo se puede ver como enviando una serie de cadenas de texto se puede ganar privilegios de administrador sobre el contenido de la página, y por lo tanto hacer uso de los contenidos y proceder a su borrado.
Recompensa para Laxman Muthiyah
Teniendo en cuenta que es el tercer fallo reportado en casi medio año, desde la red social han pagado al investigador 2.500 dólares, formando parte del programa «bug bounty» que posee la red social.
La vulnerabilidad ha quedado resuelta esta misma semana, sin embargo, los expertos en seguridad añaden que nunca se deben descuidar los permisos de los administradores de las páginas y las aplicaciones, sobre todo de estas últimas.
Fuente | The Hacker News