Curiosidades con los ID de Facebook
Hay muchas cosas en la vida, que uno ve, conoce, utiliza y desconoce pequeñas curiosidades o perlitas que no van muy al caso, pero siempre son interesantes de conocer. Facebook ha causado enorme controversia, con sus políticas de privacidad, supuesta exposición de datos privados, etc. Aquí no voy a hablar de eso ya que soy temeroso de los abogados de Mark Zuckerberg y no tengo dinero para costearme un litigio legal, así que sólo mostraré unas pequeñas perlitas con las que me he encontrado.
Observemos la siguiente URL:
Ahh, pero no pasa nada, porque siempre tiene que haber un amigo que le pase el link. ERROR.
Luego voy a mostrar un ejemplo, pero teóricamente es posible crear un algoritmo que variando las secuencias numéricas de la URL, capture las imágenes subidas. Las secuencias numéricas no son números al azar, sino que identifican el perfil, el álbum y la foto (ejemplo burdo). Un ejemplo particular, el 639435781 remarcado en la URL corresponde a mi ‘profile id”.
Existe una suerte de “aplicación” dentro de facebook, que dado un numero de perfil, nos devuelve cierta información. Por ejemplo http://graph.facebook.com/639435781 nos devuelve:
Fuente: Blog de Alejandro Pernin y II
Observemos la siguiente URL:
https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc6/262207_
10150250379330782_639435781_7283246_1748549_n.jpg
Dicha URL corresponde al enlace directo de mi foto de perfil, aunque posea una configuración de seguridad tal que sólo mis amigos puedan ver mi foto de perfil, cualquiera con esa URL podría verla; con lo que por medio de un intermediario habilitado, uno podría tener acceso a las fotos de una persona que normalmente no podría.Ahh, pero no pasa nada, porque siempre tiene que haber un amigo que le pase el link. ERROR.
Luego voy a mostrar un ejemplo, pero teóricamente es posible crear un algoritmo que variando las secuencias numéricas de la URL, capture las imágenes subidas. Las secuencias numéricas no son números al azar, sino que identifican el perfil, el álbum y la foto (ejemplo burdo). Un ejemplo particular, el 639435781 remarcado en la URL corresponde a mi ‘profile id”.
Existe una suerte de “aplicación” dentro de facebook, que dado un numero de perfil, nos devuelve cierta información. Por ejemplo http://graph.facebook.com/639435781 nos devuelve:
No es información del todo privada, menciona solo mi nombre, apellido, sexo y en qué idioma uso Facebook; asimismo si mi configuración de privacidad fuese tal que mi mail sea público, aparecería en los datos. De nuevo, esto nos permite mediante un algoritmo (para nada complicado) ir obteniendo datos, por ejemplo yo utilizé un algoritmo que a partir de mi ID, iba a obtener los resultados de los siguientes 100 ID.{"id": "639435781", "name": "Alejandro Pernin", "first_name": "Alejandro", "last_name": "Pernin", "link": "https://www.facebook.com/ale.pernin", "username": "ale.pernin", "gender": "male", "locale": "en_GB" }
Fuente: Blog de Alejandro Pernin y II
Facebook esta pagando muy bien por encontrar brechas de seguridad http://noticias.seguridadpc.net/?p=5053
ResponderBorrarSandra
Un poco tarde, bueno, endiabladamente tarde, pero una pequeña aportación a lo que Alejandro Pernin inicio: http://rfuentess.blogspot.com/2011/09/la-privacidad-del-material-multimedia.html
ResponderBorrar