Un investigador ha reportado recientemente un fallo de seguridad en Facebook que permitía visualizar las fotos privadas de otros usuarios.
La vulnerabilidad se descubrió en portal.facebook.com, la web de Facebook para su dispositivo ‘Portal’, que está diseñado principalmente para realizar videollamadas.
En la web de Portal disponemos de una pequeña ventana de chat para soporte, en la que podemos realizar consultas a un bot. Además de texto, es posible incluir imágenes y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad. Aunque inicialmente este fallo fue descubierto en este chat de soporte, según el investigador, el chat de Facebook también era vulnerable.
El problema se encontraba en que al subir un fichero o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook. Después de realizar la subida de la foto, se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chat. Si se sustituye en dicho mensaje el identificador de la foto por el identificador de cualquier otra foto, al enviar el mensaje y visualizarlo veremos automáticamente la foto correspondiente al identificador modificado.
Petición de envío de mensaje con el identificador de la foto
Aunque la explotación de esta vulnerabilidad está limitada debido a que es necesario indicar el identificador de la foto que queremos ver, un atacante podría realizar un ataque de fuerza bruta para obtener fotos privadas de otros usuarios debido al uso de identificadores numéricos.
Facebook ya ha corregido el fallo, por lo que ya no es posible explotarlo.
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN 0 RESUMEN 1 OBJETIVOS 1 DESARROLLO 2 ¿Es posible realizar este ataque de forma anónima? 3 ¿Dónde obtengo un CUIL válido? ...
Cada vez más empresas están pagando rescates a ciberdelincuentes después de sufrir ciberataques, ya que los atacantes están utilizando inteligencia artificial (IA) para lanzar campañas de ransomware cada vez más sofisticadas y dirigidas. Un estudio reciente de la consultora de ciberseguridad S-RM junto con la firma de asesoría FGS Global indica que el 24,3% de las empresas que sufrieron ataques en 2025 pagaron un rescate , frente al 14,4% en 2024 y 16,4% en 2023 . Este aumento revierte una tendencia de dos años de descenso, aunque todavía se sitúa por debajo del 27,6% registrado en 2022 . Los sectores industrial y manufacturero parecen ser especialmente vulnerables. En estos entornos, los ataques de ransomware pueden provocar interrupciones operativas graves , lo que incrementa la presión para pagar con rapidez con el fin de restaurar los sistemas y reanudar la producción. Entre las ...
RIESGO INTERNO: CUANDO LA AMENAZA TIENE CREDENCIAL Cuando se habla de seguridad, la mayoría de las organizaciones piensa en amenazas externas: 🔹 Delincuentes 🔹 Intrusos 🔹 Ciberdelincuentes 🔹 Fraudes externos Sin embargo, las estadísticas y la experiencia operativa muestran una realidad incómoda: Muchas de las pérdidas más importantes ocurren desde adentro. La amenaza no siempre llega saltando un muro. A veces entra por la puerta principal. Porque ya tiene acceso. Porque ya tiene permisos. Porque ya tiene credenciales. ¿Qué es el Riesgo Interno? Es cualquier acción u omisión realizada por empleados, contratistas, proveedores o terceros autorizados que pueda afectar la seguridad, los activos, la información o la continuidad operativa de una organización. Y no siempre existe una intención maliciosa. El riesgo interno puede surgir por: ⚠️ Negligencia ⚠️ Exceso de confianza ⚠️ Falta de capacitación ⚠️ Desmotivación laboral ⚠️ Conflictos internos ⚠️ Beneficio económico ⚠️ Acceso ex...
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios