Un fallo en Messenger dejó al descubierto con quién hablaron los usuarios

Facebook Block Delete

El grupo de seguridad digital Imperva descubrió hace casi un año un bug en Facebook Messenger que permitiría a cualquier atacante averiguar con quién ha estado hablando un usuario. El grupo de seguridad avisó a Facebook de esta vulnerabilidad en noviembre, mes en el que el bug fue parcheado y resuelto.

Un bug activo durante el año pasado pudo permitir a piratas informáticos saber con quién hablaban los usuarios de Messenger

Los atacantes, mientras el bug estaba sin resolver, podían atacar el navegador web de los usuarios para ver con quién se mantiene correspondencia a través del chat de Facebook. Los investigadores de Imperva han confirmado que este bug en concreto solo permitía saber esta información y ningún otro dato. 

Los usuarios vulnerables hubiesen sido aquellos que visitasen un sitio web cargado de malware mientras estuviesen identificados en Facebook. La vulnerabilidad se encontraba en un elemento HTML llamado iframe, que Facebook intentó arreglar mediante aleatorización.

Imperva indicó a la red social que aún así, un atacante podría diseñar un algoritmo que permitiría que los contactos de los usuarios continuasen visibles, por lo que Facebook decidió eliminar los iframes de Messenger por completo.

Facebook agradeció a la empresa su colaboración con el programa de caza de bugs y añadió que el problema estaba en cómo los navegadores web manejan ciertos contenidos y no era un problema específico de Messenger. 

De hecho, Imperva informó que estos elementos pertenecientes a los navegadores siguen siendo un problema del que solo grandes empresas como Facebook y Google están al tanto, por lo que gran parte de la industria sigue expuesta. Aunque no se trata de un tipo de ataque muy común, podría empezar a ganar popularidad a lo largo de 2019.

La información de esta brecha de seguridad aparece dos días después de las declaraciones del CEO de Facebook, Marck Zuckerberg, sobre un nuevo foco en la privacidad de todos los productos de la compañía.

Juan Carlos Rubio

Periodista. Especializado en tecnología y política internacional.

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.