Puede consultar la dirección de correo electrónico privada de cualquier usuario de Facebook con este truco astuto

Tommy DeVoss, un cazador de recompensas de errores de Facebook, no habría podido pedir un mejor regalo a Santa esta Navidad. La semana pasada, el gigante de las redes sociales le pagó 5.000 dólares para conocer una vulnerabilidad de seguridad que le dio acceso a ver las direcciones de correo electrónico privadas de cualquier usuario de Facebook.

«El hack me permitió recoger tantas direcciones de correo electrónico como quisiera de cualquier persona de Facebook», dijo DeVoss. «No importaba la privacidad que creyerais que era su dirección de correo electrónico, pudo cogerla».

DeVoss descubrió la vulnerabilidad el Día de Acción de Gracias y la informó en Facebook mediante su programa de recompensa de errores, dijo. Facebook dijo que concedería a DeVoss 5.000 dólares por el descubrimiento sólo después de semanas de verificación exhaustiva de cuál era el error exacto y de cómo se había abusado. Y finalmente, el martes pasado sí le recompensar.

El error estaba relacionado con la función de Grupos de Facebook generada por el usuario que permite a cualquier miembro crear un grupo de afinidad en la plataforma de la red social. DeVoss descubrió que podía invitar a cualquier miembro de Facebook como administrador de un grupo de Facebook para tener funciones de administración a través del sistema de Facebook para hacer cosas como añadir nuevos miembros o editar publicaciones.

Gestionadas por Facebook, estas invitaciones no sólo se enviaban a la bandeja de entrada de mensajes de Facebook del destinatario invitado, sino también a la dirección de correo electrónico del usuario de Facebook enlazada a su cuenta. En varios casos, los usuarios deciden mantener sus direcciones de correo electrónico privadas. Aunque los miembros de Facebook establecieron la configuración de privacidad, DeVoss descubrió que era capaz de acceder a la dirección de correo electrónico de cualquier usuario de Facebook tanto si era amigo de ellos como si no.

Sin embargo, DeVoss encontró un error cuando canceló las invitaciones pendientes de los invitados a ser administradores del grupo de Facebook. «Mientras Facebook espera la confirmación, el usuario se reenvía a una pestaña Funciones de página que incluye un botón para cancelar la solicitud», dijo.

A continuación, pasó a la visualización móvil de Facebook de la pestaña Funciones de la página. Fue aquí donde DeVoss pudo ver las direcciones electrónicas completas de cualquier persona que quería cancelar para convertirse en administrador del grupo de Facebook.

«Noté que cuando hacía clic para cancelar la invitación de administrador en la página para móviles, os redirigían a una página con la dirección de correo electrónico a la URL», dijo. «Ahora todo lo que necesita hacer es arrancar la versión de texto completo de la dirección de correo electrónico confidencial directamente de la URL.»

En una publicación en el blog que describía su descubrimiento, escribió que el efecto de esta vulnerabilidad podría ser diverso. «La recopilación de direcciones electrónicas de esta manera contradice la política de privacidad de Facebook y puede provocar intentos de pesca específicos u otros propósitos maliciosos».

Confirmando el hack, Facebook dijo que no tiene ninguna prueba de que la vulnerabilidad haya explotado nunca. También se dijo que se ha implementado una solución para evitar que se abuse del error.

DeVoss, un desarrollador de software en Virginia, dijo que este es el mayor pago de recompensas por errores que haya recibido nunca. Participó en varios programas de recompensa de errores, incluidos Yahoo s y el programa Hack the Pentagon Threatpost.

Por otro lado, Facebook en octubre había anunciado que, desde que implementó su programa de recompensa de errores hace cinco años, ha pagado más de 5 millones de dólares a 900 investigadores. La compañía pagó 611.741 dólares a 149 investigadores sólo durante la primera mitad de 2016.