Un investigador ha reportado recientemente un fallo de seguridad en Facebook que permitía visualizar las fotos privadas de otros usuarios.
La vulnerabilidad se descubrió en portal.facebook.com, la web de Facebook para su dispositivo ‘Portal’, que está diseñado principalmente para realizar videollamadas.
En la web de Portal disponemos de una pequeña ventana de chat para soporte, en la que podemos realizar consultas a un bot. Además de texto, es posible incluir imágenes y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad. Aunque inicialmente este fallo fue descubierto en este chat de soporte, según el investigador, el chat de Facebook también era vulnerable.
El problema se encontraba en que al subir un fichero o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook. Después de realizar la subida de la foto, se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chat. Si se sustituye en dicho mensaje el identificador de la foto por el identificador de cualquier otra foto, al enviar el mensaje y visualizarlo veremos automáticamente la foto correspondiente al identificador modificado.
Petición de envío de mensaje con el identificador de la foto
Aunque la explotación de esta vulnerabilidad está limitada debido a que es necesario indicar el identificador de la foto que queremos ver, un atacante podría realizar un ataque de fuerza bruta para obtener fotos privadas de otros usuarios debido al uso de identificadores numéricos.
Facebook ya ha corregido el fallo, por lo que ya no es posible explotarlo.
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN 0 RESUMEN 1 OBJETIVOS 1 DESARROLLO 2 ¿Es posible realizar este ataque de forma anónima? 3 ¿Dónde obtengo un CUIL válido? ...
Se descubrió una vulnerabilidad de día cero en el kernel de Linux, utilizando el modelo o3 de OpenAI. Este hallazgo, asignado a CVE-2025-37899, marca un avance significativo en la investigación de vulnerabilidades asistidas por IA. La vulnerabilidad, confirmada oficialmente el 20 de mayo de 2025, afecta al componente ksmbd del kernel de Linux, un servidor en el kernel que implementa el protocolo SMB3 para compartir archivos a través de redes. En concreto, se identificó una vulnerabilidad use-after-free en el controlador del comando 'logoff' de SMB que podría dar lugar a graves violaciones de seguridad. "Encontré la vulnerabilidad con nada más complicado que la API de o3: sin andamios, sin marcos agenticos, sin uso de herramientas", dijo Sean, quien descubrió la falla. "Esta es, hasta donde yo sé, la primera discusión pública de una vulnerabilidad de esa naturaleza encontrada por un gran modelo de lenguaje", dijo Sean. Los detalles técnicos revelan que c...
Un ordenador cuántico en China ha logrado romper una clave RSA y enciende las alarmas sobre la seguridad digital, la vulnerabilidad de los datos bancarios y las redes cifradas. La computación cuántica ha sido durante años una promesa lejana, pero ahora acaba de dar un paso en firme hacia un terreno inquietante, la ruptura de sistemas criptográficos hasta ahora considerados seguros. En un experimento llevado a cabo en China, un equipo de investigadores ha logrado romper una clave RSA de 90 bits usando un ordenador cuántico comercial. Este hito marca un antes y un después en la seguridad digital y el futuro del cifrado . El descubrimiento estuvo a cargo de Wang Chao, profesor en la Universidad de Shanghái, y fue divulgado en la revista Chinese Journal of Computers . Lo más impactante no fue solo el resultado, sino cómo lo lograron, ya que recurrieron a un ordenador cuántico accesible llamado D-...
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios