Facebook corrigió un error que permitía a cualquiera descubrir a qué grupos privados te uniste

Facebook recientemente corrigió dos errores en sus sistemas que le permiten a un no miembro verificar si usted es parte de un grupo determinado y elaborar una lista de miembros de la misma ciudad.

Normalmente, si formas parte de un grupo, puedes consultar los perfiles de otros miembros. Pero no es posible cuando no eres parte de él, especialmente cuando el grupo es privado.

El investigador de seguridad Mohamed Shariff encontró un par de errores que permitían a los no miembros verificar a los miembros del grupo mediante consultas en graphql, un lenguaje de consulta desarrollado por Facebook. La primera vulnerabilidad fue que los atacantes pueden ver a miembros de un grupo con la misma ciudad o la misma universidad. Y el segundo error permitió a un no miembro verificar si una persona es parte de un grupo.

Shariff informó de este error a la empresa en agosto. Un portavoz de Facebook dijo que el error se corrigió y no afectó a los grupos privados que estaban ocultos.

Encontramos y arreglamos rápidamente un error que afectaba a los grupos privados visibles, lo que permitía a alguien fuera de ese grupo ver si alguien más era miembro de él. El problema no afectó a los grupos privados que estaban ocultos.

Con esta información, los atacantes con intenciones malintencionadas podrían apuntar a personas que forman parte de un determinado grupo privado y viven en la misma ciudad que ellos. O también podrían crear el perfil de una persona utilizando los grupos privados de los que forman parte para mapear sus intereses y vender esa información a un tercero. Esta solución no podría llegar lo suficientemente pronto.