Una vulnerabilidad de Facebook permitió acceso a empresas de publicidad y otras terceras partes a información personal de los usuarios, reveló la empresa de seguridad Symantec.
PUBLICIDAD
Symantec, que describió el problema como “accidental”, explicó que avisadores han tenido acceso a información personal de las cuentas de usuarios, incluyendo perfiles, fotos, registros de chat, y también la posibilidad de postear mensajes en el muro de las personas sin que éstas lo autorizaran.
“Por fortuna, estas terceras partes pueden no haber descubierto que tenían la habilidad de acceder a esta información”, agregó la compañía, que informó a Facebook sobre el problema la segunda semana de abril.
La red social dijo que ya resolvió el problema y que no ha encontrado evidencia de que se haya filtrado información privada. Sin embargo, Symantec señala que en abril, esta vulnerabilidad estaba presente en unas 100.000 aplicaciones de Facebook, y ya que las aplicaciones funcionan en la red social desde 2007, potencialmente datos de miles de personas pueden haberse filtrado a terceros.
Llaves
Las aplicaciones tienen unas “llaves de acceso” que uno les entrega cuando instala una aplicación, que le permiten al programa poner mensajes en tu muro (la frase del día de algún personaje, por ejemplo). “Cada llave está asociada con un grupo de permisos, como leer tu muro, acceder a los perfiles de amigos, postear en tu muro, etc”, explica Symantec.
Los usuarios normalmente entregan ese permiso a las aplicaciones, sin embargo, desarrolladores han estado entregando esas llaves a otros, lo que dio acceso a empresas de publicidad o de análisis estadístico una forma de acceder a esta información también. “Estimamos que, a través de los años, cientos de miles de aplicaciones pueden haber entregado sin querer millones de llaves a terceros”, dice Symantec.
PUBLICIDAD
Las llaves se filtraban automáticamente dentro de las URLs de referencia que las aplicaciones de Facebook entregaban a los avisadores y otros. Eso no debería haber sucedido, pero una falla en la forma en que estaba estructurado el sistema lo permitió.
Aunque Facebook ya reparó este problema, todavía puede tener repercusiones. Según Symantec, las llaves que ya se filtraron todavía pueden estar activas. Estos accesos seguirán funcionando hasta que el usuario de Facebook cambie su password, de modo que la compañía recomendó a quienes estén preocupados por el tema (aquellos que instalan muchas aplicaciones, sobre todo) a cambiar su contraseña.
El asunto de las aplicaciones “truchas” no es nuevo en Facebook: el año pasado, la compañía castigó a varios desarrolladores por entregar datos personales a empresas de publicidad.
Link: Facebook applications accidentally leaking access to third parties (Symantec)