Facebook se ha movido rápidamente para cerrar una brecha que hizo algunas cuentas accesibles sin contraseña.
El error fue descubierto en un mensaje publicado en el sitio web de noticias Hacker.
El mensaje que contiene una cadena de búsqueda que, cuando se usa en Google, regresó una lista de enlaces a 1,32 millones de cuentas de Facebook.
En algunos casos haciendo clic en un enlace conectado a esa cuenta sin la necesidad de una contraseña. Todos los enlaces de manifiesto las direcciones de correo electrónico de los usuarios de Facebook.
Cuenta Throwaway
El mensaje enviado a Hacker News utiliza una sintaxis de búsqueda que expone un sistema utilizado por Facebook que permite a los usuarios rápidamente volver a iniciar sesión en su cuenta.
Avisos por correo electrónico acerca de actualizaciones de estado y notificaciones a menudo contienen un enlace que permite a un usuario de la red social de responder rápidamente haciendo clic en él para iniciar sesión en su cuenta.
En un comentario añadido al mensaje Hacker News, Facebook seguridad ingeniero Matt Jones dijo que los vínculos fueron típicamente sólo se envían a las direcciones de correo electrónico de los titulares de las cuentas. Enlaces enviados de esta manera sólo se puede hacer clic una vez.
"Para que un motor de búsqueda para llegar a través de estos enlaces, el contenido de los correos electrónicos tendría que haber sido publicado en línea", escribió. Mr Jones sospechaba que esto es lo que sucedió ya que muchas de las direcciones de correo expuestos fueron los sitios de correo desechables o de los servicios que hicieron un mal trabajo de proteger los mensajes archivados.
La mayor parte de el millón de conexiones expuestas ya habría expirado, dijo el Sr. Jones.
"De todos modos, debido a que algunos de estos enlaces que están siendo revelados, hemos convertido la función de apagado hasta que mejor puede garantizar su seguridad para los usuarios de correo electrónico cuyo contenido es visible al público", dijo.
El Sr. Jones añadió que Facebook ha tomado medidas para proteger las cuentas de personas que habían sido expuestos por el defecto. Muchas de las cuentas expuestas estaban en Rusia y China.
En un comunicado, Facebook dijo que los vínculos fueron enviados "directamente a las direcciones de correo electrónico privadas para ayudar a la gente fácilmente acceder a sus cuentas, y nunca hizo disponible al público o rastrear".
Sin embargo, dijo, los vínculos fueron publicadas luego en otros lugares en línea que conducen a ellos la indexación en los motores de búsqueda.
Decía: "Si bien hemos tenido siempre las protecciones de estos enlaces privados para proporcionar una capa adicional de seguridad, desde entonces hemos desactivado su funcionalidad completa y está recuperando de las cuentas de alguien que acaba de utilizar esta función."
No hay comentarios:
Publicar un comentario