martes, junio 05, 2018

Facebook ya no dejar ver tu foto y tu nombre si no hiciste login antes desde esa ubicación para evitar más casos de "Cambridge Analytica"

Ya se ha hablado en este blog sober cómo se pueden utilizar los "leaks" de información en Facebook en otras ocasiones para sacar información. Uno de los más antiguos es - o mejor dicho era - que un usuario cualquiera pudiera conocer el nombre de un usuario y visualizar su imagen, por ejemplo, conociendo su número de teléfono, siempre y cuando éste número esté asociado a ese usuario.

Figura 1: Facebook ya no dejar ver tu foto y tu nombre si no hiciste login
antes desde esa ubicación para evitar más casos de "Cambridge Analytica"

Incluso, existen proyectos en Github que permiten obtener, dada una dirección de e-mail o un número de teléfono, la información sobre el nombre del usuario, generalmente su nombre de persona, y parte de su número de teléfono, así como su fotografía.

Figura 2: Facebook reset OSINT tool

Claramente es una técnica de OSINT que investigadores y analistas pueden utilizar en función de las necesidades que tengan. Este truco no es nuevo, como ya hemos podido ver tiene varios años, pero recientemente nos hemos dado cuenta de un movimiento de Facebook y es que ellos almacenan desde dónde haces login, por lo que, si la red desde la que se hace uso de este truco nunca fue utilizada por el usuario legítimo para iniciar sesión, Facebook no proporcionará la información del usuario, ni el teléfono.

¿Cómo funciona esto?

Repasando brevemente el truco, cuando un usuario se dirige a Facebook y pulsa sobre “¿Has olvidado los datos de la cuenta?”, Facebook le pregunta por el e-mail o el número de teléfono. Si se le indican estos datos, Facebook devolvía la imagen del usuario y el nombre de la persona a la que pertenece la cuenta.

Figura 3: Antes Facebook mostraba siempre el nombre y la foto

Lo curioso es que cuando uno pulsa sobre recuperar la contraseña e introduce un número de teléfono asociado a una cuenta, yo probé con la mía, Facebook proporciona un mensaje indicando:
“Puedes ver tu nombre y foto del perfil porque estás usando una red informática desde la que ya habías entrado antes.”
Esto me hizo comprobar si esto es cierto. Utilizando mí mismo número en otra red, la cual antes no había utilizado para iniciar sesión en Facebook, me di cuenta de que no obtenía mi nombre, ni la imagen de mi usuario en mi cuenta. Además, no aparece ningún mensaje que indique nada de las redes informáticas, como dicen ellos.

Figura 4: Facebook deja ver la info porque ya me había conectado desde esa ubicación

Se puede ver en la imagen como en vez de proporcionar el nombre del usuario, se proporciona el número del teléfono directamente. La imagen pasa a ser el típico avatar de cuando no se tiene acceso a la imagen o no se tiene configurada una imagen.

Figura 5: Si no es una ubicación conocida no deja ver la foto ni el nombre

Parece que Facebook ha hecho un poco más restrictivo el asunto de mostrar la imagen y el nombre de la persona, sabiendo el e-mail o el número de teléfono, intentando minimizar el impacto que puedan tener empresas del tipo "Cambridge Analytica" que busquen fugas de información en servicios de login o recuperación de contraseñas como explicaba ayer Chema Alonso.

Figura 6: Hay que evitar fugas en creación de cuentas o recuperación de passwords

Pero, ¿qué ocurre una red empresarial? Si esto se prueba en una red de una empresa muchos de sus empleados, seguramente, hayan utilizado Facebook por lo que son susceptibles de poder identificar por otros empleados. Así como, identificar quién ha utilizado Facebook en la empresa. Eso sí, el impacto se reduce muchísimo. Este es uno de esos tricks que no deja indiferente a nadie y que Facebook ha “restringido” un poco, algo que nos parece muy conveniente en el mundo en que nos movemos.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares