Facebook expuso…

acceder a fotos privadas de Facebook

Facebook parece atrapada en su día de la marmota particular en cuestión de seguridad; la diferencia es que el final feliz no parece estar cerca. Da la sensación de que justo cuando dejamos de hablar de su último problema de seguridad, aparece uno nuevo.

En este caso, ahora le toca el turno a la API de fotos; que tenía un bug que permitió acceder a las fotos de los usuarios sin su permiso durante casi dos semanas. Y todo apunta a que Facebook no podrá pasar página tan fácilmente como hasta ahora.

Un bug permitió acceder a fotos privadas de Facebook

La vulnerabilidad estuvo presente en Facebook entre el 13 de septiembre de 2018 y el 25 del mismo mes; unos 12 días durante los cuales los desarrolladores de apps tuvieron acceso a información de los usuarios sin necesidad de obtener su permiso. Por lo tanto, ese bug ocurrió mucho después del escándalo de Cambridge Analytica, y de que Facebook implementase medidas para evitar que las apps obtuviesen datos de los usuarios sin su permiso.

El bug estaba presente en la API, el sistema que usan los desarrolladores de apps para realizar peticiones a Facebook. Concretamente, el problema estaba en la API que permitía acceder a las fotos de los usuarios. Una app sólo tenía que pedir permiso a los usuarios para obtener las fotos públicas; pero en realidad la API le otorgaba muchos más permisos.

Entre la información que podían obtener las apps gracias a este bug se encuentran las historias de Facebook, las fotos subidas a Marketplace, y las fotos que habíamos subido a Facebook pero que no habíamos hecho públicas. Por lo tanto, cabe la posibilidad de que estas apps hubiesen obtenido fotos privadas de los usuarios.

Hasta 1.500 aplicaciones, creadas por 876 desarrolladores, se vieron afectadas; aunque Facebook no ha aclarado si alguna de estas apps se aprovechó del bug. En total, hasta 6,8 millones de usuarios podrían verse afectados. Facebook afirma que contactará con los desarrolladores para que borren las fotos que hayan obtenido de los usuarios.

Facebook puede enfrentarse a multas millonarias

Además, Facebook notificará a los usuarios con una alerta que veremos cuando entremos en Facebook. Sin embargo, aquí es donde Facebook podría meterse en más problemas. Y es que, en realidad, la compañía descubrió y solucionó el bug el pasado 25 de septiembre, y no ha avisado hasta hoy.

El GDPR, el reglamento de protección de datos europeo, establece un periodo de 72 horas desde que se descubre un bug para notificarlo a los usuarios. Por lo tanto, la compañía se arriesga a multas de hasta 20 millones de euros, o el 4% de los ingresos anuales de la empresa.

La explicación de la compañía por tardar tanto en notificar a los usuarios es que necesitó este tiempo para investigar qué apps y usuarios se habían visto afectados. En el pasado, Facebook ha sido crítica del GDPR y especialmente de la necesidad de notificar a los usuarios en el plazo establecido.

Por ahora, la única manera de saber si nuestras fotos han podido ser vistas por terceros es si recibimos la alerta cuando entremos en Facebook.

La entrada Facebook expuso las fotos privadas de 6,8 millones de usuarios por un bug aparece primero en Omicrono.



Fuente: omicrono