Usan la vista previa de Facebook para robar datos

Usan la vista previa de Facebook para robar datos

Javier Jiménez

Facebook es sin duda una de las redes sociales más populares y que cuenta con más usuarios a nivel mundial. Por ello cuando surge algún problema, cuando aparece una nueva amenaza que puede comprometer la seguridad y privacidad de los usuarios, son muchos los que pueden verse afectados. En este artículo nos hacemos eco de una noticia que informa sobre cómo están utilizando la vista previa de los enlaces de Facebook para extraer datos de sitios de Internet.

Usan la vista previa de enlaces de Facebook para extraer datos

Están utilizando la función de vista previa de enlaces de Facebook para extraer datos de sitios de Internet. Esto lo consiguen al usar servidores API de la red social como proxy y evitar así ser incluidos en la lista negra.

Esta técnica consiste en utilizar cuentas de desarrollador de Facebook para realizar llamadas a los servidores de la API de la red social o su programa de mensajería, Facebook Messenger. Esto lo que hace es solicitar una vista previa del enlace para las páginas de un sitio del que quieran extraer información.

Facebook obtendría los datos, los mostraría en una vista previa del enlace y los devolvería a los buscan recopilar estos datos como una respuesta de API, listos para ser agregados a la base de datos.

Este proceso, como indican los investigadores de seguridad detrás de este informe, ha tenido éxito ya que la mayoría de los operadores de sitios web permiten que los servidores de Facebook rastreen sus sitios. Esto es así ya que saben que los datos que Facebook recopila de sus páginas generalmente se utilizan con fines legítimos, como parte de las vistas previas de enlaces en la red social, Facebook Messenger, WhatsApp o Instagram.

Varios grupos han utilizado esta técnica

El problema es que, como vemos, diferentes grupos han utilizado esta técnica para recopilar información de esos sitios. Este informe ha sido desarrollado por DataDome, una firma de seguridad informática que ofrece capacidades para detectar bots. Ahora han descubierto que pueden abusar de esta técnica de Facebook.

Desde DataDome han indicado que han identificado diferentes grupos, pero principalmente lo han detectado en un cliente de un portal de anuncios clasificados. Descubrieron ciertos parámetros que no serían utilizados por humanos, sino por bots. Esto incluía las URL de las páginas del sitio de clasificados que los usuarios normalmente no compartirían en Facebook con frecuencia, así como las páginas de resultados de búsqueda, un indicio de que alguien estaba recopilando información del sitio de anuncios clasificados en busca de entradas recientes.

Las pruebas realizadas por el equipo de DataDome confirmaron la eficacia de la técnica y descubrieron que los grupos de extracción de datos podrían abusar de esta función para recuperar vistas previas de enlaces de hasta 10.000 URL cada hora desde una sola cuenta de desarrollador de Facebook.

También indican que pusieron en conocimiento de la red social este problema y desde Facebook han trabajado para dificultar este proceso al limitar la velocidad en la API. Así pueden prevenir que recopilen información de esta manera.

En definitiva, un problema más que puede afectar a Facebook. Os dejamos un artículo para mantener la seguridad en redes sociales.