Un fallo de seguridad en Facebook ha dejado al descubierto todos los mensajes privados de los usuarios de su aplicación para felicitar el año nuevo Midnight Delivery. Según descubre el portal The Next Web, un error de diseño en esta aplicación (que fue publicada por la red social la semana pasada para que sus usuarios pudieran enviarse felicitaciones supuetamente privadas) permitía que cualquier persona pudiera acceder a mensajes privados ajenos de forma extremadamente sencilla.

Al enviar un mensaje a través de la aplicación Midnight Delivery se nos mostraba una pantalla de confirmación. Pues bien: para acceder a los mensajes de otras personas bastaba con cambiar el número que aparecía al final de la dirección de esa página. En condiciones normales ese tipo de mensajes de confirmación no muestran su URL real o utilizan algún sistema de cifrado para que sea imposible utilizarlas como "puente" para ver mensajes privados; en esta ocasión los programadores de Facebook no incluyeron ninguna medida de seguridad de ese tipo.

Al entrar en cada confirmación el sistema asumía que el remitente del mensaje era el ordenador que estaba accediendo al mismo en ese momento. Por ello, si bien no era posible saber el remitente real de cada mensaje, sí que podían verse sus destinatarios y el contenido del mismo. Pero no sólo eso: como Facebook nos tomaba por el verdadero remitente del mensaje, podíamos borrarlo sin ningún problema. Así pues, es posible que usuarios malintencionados hayan borrado felicitaciones de otras personas.

Facebook está ya trabajando en un parche para arreglar el fallo de la aplicación. Mientras tanto la red social ha desactivado Midnight Delivery para evitar mayores problemas. Aunque parezca un problema trivial, no olvidemos que desde el momento en que un mensaje que debía ser privado se ve comprometido no podemos saber qué clase de información habrán enviado los usuarios a través de este sistema. Además, no es la primera vez en los últimos meses que Facebook se ve envuelto en una polémica por errores de seguridad.

Sobre El Autor

Hacer Comentario

Su dirección de correo electrónico no será publicada.