Aprovecha un fallo en Facebook para acceder a miles de perfiles usando números de teléfono
El desarrollador, llamado Reza Moaiandin, descubrió un error que aprovecha la opción de configuración '¿Quién puede buscarme?' -que permite encontrar a usuarios con solo introducir el número de móvil
Facebook tendrá que plantearse modificar la configuración de privacidad de la red social después de que un desarrollador obtuviera gran cantidad de datos procedentes de usuarios con solo introducir los números de teléfono que previamente había generado con ayuda de un algoritmo.
El desarrollador, llamado Reza Moaiandin, descubrió un error que aprovecha la opción de configuración '¿Quién puede buscarme?' -que permite encontrar a usuarios con solo introducir el número de móvil-. Junto a un algoritmo, Moaiandin generó decenas de miles de números de teléfono que posteriormente envió a la API de la red social y en pocos minutos Facebook le proporcionó miles de perfiles de usuarios y el consecuente acceso a fotografías, nombres y localizaciones.
Como ha señalado The Guardian, toda la información que el desarrollador recopiló ya estaba disponible de forma pública, pero se ha cuestionado el enlace entre los perfiles y los teléfonos de móvil. Además, expertos en seguridad han alertado de que este fallo permitirá a los hackers hacerse con una base de datos enorme procedente de los perfiles de los usuarios que podrán vender en el mercado negro.
La opción de configuración '¿Quién puede buscarme?' está establecida por defecto como pública -todos-, de tal forma que cualquiera puede encontrar a un usuario con solo teclear el número de su teléfono, y esto ocurre incluso si el usuario ha seleccionado la opción de ocultar el número. Sin embargo, la gravedad aquí radica en la escala a la que se ha realizado la recopilación de información.
Moaiandin es el director ténico de la compañía tecnológica Salt.agency, y él mismo ha comparado este accceso a los datos como "entrar en un banco, pedir la información personal unos cuantos miles de clientes basada en su cuenta bancaria, y que el banco diga: 'aquí están los detalles de los clientes'".