Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha
convertido en un punto de referencia en Internet. En los últimos meses,
además, la seguridad en Facebook ha dado demasiados dolores de cabeza a
la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la
protección del portal. Veamos en esta entrega algunos problemas de
seguridad recientes relacionados con Facebook:
* El 26 de enero la página de fans del propio creador de Facebook, Mark
Zuckerberg, aparece con contenido ofensivo que, evidentemente, no ha
creado él mismo. Se comienza a especular con el hecho de que su cuenta
ha sido comprometida (bien su contraseña, bien su sesión...) pero
finalmente se aclara oficialmente. Un fallo en la API que permite
actualizar el contenido de estas páginas en Facbook, permitía escribir
en cualquiera de ellas sin necesidad de conocer su contraseña. No se
sabe desde cuándo era conocida esta vulnerabilidad, pero fue necesario
que la cuenta del propio creador del portal se modificara para sacarlo
a la luz. En realidad, que el fallo esté en la API deja en mucho mejor
lugar la imagen del propio Zuckerberg de lo que en un principio se
rumoreaba (se supone que Mark sabe de seguridad y cómo proteger sus
cuentas), y un poco peor a los programadores del portal en general.
* Facebook y Twitter se están convirtiendo en plataforma preferida para
difundir ataques, por encima incluso del correo tradicional. El correo
basura se ha reducido un 75% en seis meses. El spam tradicional pierde
efectividad porque cada vez hay mejores filtros en los servidores y
clientes de correo, también porque el internauta se ha concienciado y no
hace caso a los mensajes de publicidad que llegan a su buzón. Pero en
realidad la basura se desplaza, no desaparece. Facebook y Twitter son el
nuevo objetivo de los spammers, entornos que no se contabilizan en las
estadísticas que reflejan el descenso del spam tradicional. Twitter, por
ejemplo, reconoce que ha tenido picos de hasta el 11%, pero que lo ha
reducido al 1%. Esto quiere decir que si mueve 300 millones de mensajes
diarios, tres millones de ellos son basura. En Facebook más del 15% de
los mensajes con enlaces que circulan son spam. En las redes sociales un
gran porcentaje de la gente visita los enlaces (en teoría proviene de
fuentes más confiables), mientras que por correo electrónico apenas
consiguen ratios del 0,00001% de incautos. Así que para conseguir unos
beneficios similares en las redes sociales los atacantes necesitan
enviar mucha menos cantidad de mensajes.
* En los últimos tiempos, se han hecho públicos ciertos "trucos" que
permitían a cualquier usuario obtener información de otros sin necesidad
de que éstos confíen en él. Por ejemplo, muy recientemente se ha
explicado públicamente cómo, con un simple cambio en la URL se puede
acceder a los álbumes de fotos privados de cualquier usuario de
Facebook. Otro problema ha sido el descubierto por Rui Wang y Zhou Li,
que encontraron recientemente la fórmula para que cualquier página
suplantase a otra con permisos para acceder a datos personales. De esta
forma también se podía publicar enlaces fraudulentos en cualquier muro.
Se notificó de manera coordinada a Facebook y lo solucionaron antes de
que se hiciese público. Enlazamos a un vídeo demostración en el apartado
de "Más información".
En resumen, estos fallos han mermado la confianza de los usuarios en
Facebook, aunque aún no lo suficiente como para que abandonen la
plataforma. En un reciente estudio sobre 1.200 internautas se les
preguntó qué red social les parecía más peligrosa. Un 82% respondió que
Facebook, un 8% que Twitter, otro 8% desconfiaba de Myspace y solo un 2%
de Linkedin. En la misma encuesta realizada en 2010, solo el 60% pensaba
que Facebook era tan peligrosa.
Otros enlaces de interes:
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4494/comentar
Más información:
Facebook flaw allowed websites to steal users' personal data without consent
http://www.youtube.com/watch?v=chATOThshtY
El envío de 'spam' se reduce el 75% en seis meses
http://www.elpais.com/articulo/Pantallas/envio/spam/reduce/75/meses/elpepirtv/20110115elpepirtv_2/Tesç
Facebook defends security strategy
http://www.theregister.co.uk/2011/01/21/facebook_security_analysis/
Facebook's Mark Zuckerberg in fan page hack - on Facebook!
http://nakedsecurity.sophos.com/2011/01/26/facebooks-zuckerberg-in-fan-page-hack/
Facebook photo exploit allows you to view any albums of non-friends
http://www.neowin.net/news/facebook-photo-exploit-allows-you-to-view-any-albums-of-non-friends
Fuente: Hispasec.com , España
No hay comentarios:
Publicar un comentario