Descontrolando Facebook

“sos un perseguido” me dicen….  “estas paranóico…”  ok.  Así terminan mis intentos de explicar que las redes sociales no son para nada seguras y que al poner imágenes, videos e información privada online, estamos comprometiendo nuestra privacidad y también nuestra seguridad.
Una vez más el tiempo me alza vencedor, y tengo una demostración más que contundente:

 Cualquiera puede ver las fotos de Facebook de otra persona
 sin haber sido aceptado como amigo muy fácilmente.

facebook

Se trata de un bug o error de diseño en la API de Facebook que permite acceder a las fotos de un usuario con solo saber su número de ID.
Los pasos son los siguientes:

  1. Tenemos que estar logueados en FB.
  2. Entrar a developers.facebook.com/tools.php
  3. Elegir en el menú desplegable “método” la opción “fql.query
  4. En el cuadro de texto “query” que aparecerá ingresar la siguiente consulta:
     SELECT location, link FROM album WHERE owner=idDelContacto

Donde dice “idDelContacto” ahí tenemos que reemplazar eso por la ID de la persona que queremos espiar. Ese número es muy fácil de obtener, si te paras en cualquiera de los links relativos a ella (como Agregar amigo, etc) en la URL aparece la variable id=xxxxxxx.  Ese es el número de id del usuario.

Al hacer click en el botón aparecerá un código XML, del cual solo necesitas los links que están entre las etiquetas <link>.  Ese texto lo pegás en un navegador.

Si te fijas, la línea que acabas de pegar contiene el texto ( amp; ) es necesario borrar estos caracteres. a m p ;   <- estos 4 caracteres. Y listo. Acceso a las fotos.

Esto sirve para tomar conciencia de la peligrosidad de subir información privada a internet. La única forma de evitarlo es incrementar los privilegios de seguridad de las fotos.

saludos

Compartir:
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Meneame

Tags: , , , , , ,

This entry was posted on Viernes, junio 12th, 2009 at 5:55 PM and is filed under General, Seguridad. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

  1. Kiaan dice:
    06/14/2009 a las 10:50 PM

    Si, es verdad eso, tambien hay otra forma, si uno de tus contactos comenta en una foto de otro que no tenés agregado y te aparece en la barra de la derecha de “lo más destacado”, podés acceder a ver todas las fotos sin tener a esa persona como contacto.

    no es por sonar paranoico ni por alimentar la paranoia de nadie, pero apoyo el pensamiento de que estamos regalando informacion personal a extraños.

    Sinceramente lo uso lo menos posible.

  2. Diego dice:
    06/15/2009 a las 1:41 AM

    si, hace reflexionar bastante… y aún más con lo que leí hace poco de “usar el loguin de facebook” como identificación en la web… osea, ya hay muchos sitios que en vez de su propio sistema de login te permiten loguearte en FB y acceder a sus servicios.
    Osea que, en manos de esta gente va a quedar más aún que la info que subamos al propio FB…

  1. There are no trackbacks for this post yet.

Leave a Reply